MeowMeow Pintu Belakang
Penyelidik keselamatan siber telah menemui sejenis perisian hasad yang sebelum ini tidak didokumenkan bernama MeowMeow, yang digunakan dalam kempen siber yang menyasarkan organisasi Ukraine. Operasi ini menunjukkan rantaian jangkitan berstruktur dan penggunaan teknik penipuan berlapis untuk menjejaskan sistem dan mengekalkan kegigihan.
Berdasarkan pelbagai petunjuk, kempen ini telah dikaitkan dengan keyakinan sederhana kepada pelaku ancaman yang ditaja oleh negara Rusia, APT28. Penilaian ini bergantung pada corak penyasaran kempen, tema geopolitik yang tertanam dalam gewang, dan persamaan teknikal dengan operasi siber Rusia yang terdahulu.
Isi kandungan
Titik Kemasukan Phishing dan Mekanisme Penjejakan Awal
Urutan serangan bermula dengan e-mel pancingan data yang direka dengan teliti agar kelihatan boleh dipercayai. Mesej tersebut dihantar dari alamat yang berkaitan dengan ukr.net, satu taktik yang mungkin bertujuan untuk meningkatkan kepercayaan dalam kalangan penerima Ukraine.
Di dalam e-mel tersebut terdapat pautan yang mendakwa membawa kepada arkib ZIP. Apabila mangsa mengklik pautan tersebut, pelayar tidak akan memuat turun fail tersebut serta-merta. Sebaliknya, ia memuatkan imej yang sangat kecil yang berfungsi sebagai piksel penjejakan, memberi isyarat kepada penyerang bahawa pautan tersebut telah dibuka. Selepas langkah pengesahan ini, mangsa akan dialihkan ke URL lain di mana arkib ZIP berniat jahat akhirnya dimuat turun.
Penipuan Melalui Dokumen Kerajaan yang Boleh Diumpan
Sebaik sahaja arkib diekstrak, rantaian jangkitan melancarkan fail Aplikasi HTML (HTA). HTA secara serentak melakukan dua tindakan:
- Memaparkan dokumen gewang yang ditulis dalam bahasa Ukraine berkaitan dengan rayuan lintas sempadan.
- Memulakan proses berniat jahat tambahan di latar belakang.
Dokumen ini bertindak sebagai mekanisme kejuruteraan sosial dengan membentangkan apa yang kelihatan sebagai pengesahan penerimaan rayuan kerajaan mengenai prosedur lintasan sempadan. Naratif yang direka dengan teliti ini mengukuhkan ilusi kesahihan sementara aktiviti berniat jahat terus berlaku tanpa disedari.
Pengelakan Kotak Pasir dan Pengesahan Sistem
Sebelum meneruskan proses jangkitan, perisian hasad akan menjalankan pemeriksaan untuk menentukan sama ada ia berjalan dalam persekitaran analisis terkawal.
HTA akan menanyakan kunci Pendaftaran Windows HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate untuk menganggarkan berapa lama sistem pengendalian telah dipasang. Jika sistem tersebut berusia kurang daripada sepuluh hari, satu ciri biasa persekitaran kotak pasir, perisian hasad akan menamatkan pelaksanaan. Langkah ini membantu penyerang mengelakkan pengesanan oleh sistem analisis perisian hasad automatik.
Mekanisme Pelaksanaan Muatan dan Kegigihan
Jika sistem lulus pemeriksaan persekitaran, perisian hasad akan terus mengekstrak komponen tambahan daripada arkib ZIP yang dimuat turun. Dua fail akan diambil: fail VBScript dan imej PNG yang mengandungi kod tersembunyi. Fail-fail ini ditulis ke cakera di bawah nama fail baharu.
Kegigihan dicapai dengan mencipta tugasan berjadual yang melaksanakan VBScript secara automatik. Tujuan utama skrip adalah untuk mengekstrak kod berniat jahat yang tersembunyi dalam fail PNG. Muatan terbenam ini ialah pemuat .NET yang dikaburkan yang dikenali sebagai BadPaw, yang kemudiannya memulakan komunikasi dengan pelayan arahan dan kawalan jauh.
BadPaw Loader dan Pintu Belakang MeowMeow
Pemuat BadPaw berfungsi sebagai komponen perantara yang bertanggungjawab untuk memuat turun modul perisian hasad tambahan. Objektif utamanya adalah untuk mendapatkan dan menggunakan perisian boleh laku pintu belakang bernama MeowMeow.
Aplikasi MeowMeow menyertakan ciri gangguan yang luar biasa dalam antara muka grafiknya. Apabila butang 'MeowMeow' yang kelihatan diklik, program ini hanya memaparkan mesej yang berbunyi 'Meow Meow Meow', tanpa melakukan aktiviti berniat jahat. Tingkah laku ini bertindak sebagai umpan sekunder yang bertujuan untuk mengelirukan penganalisis semasa pemeriksaan manual.
Fungsi hasad sebenar hanya dicetuskan di bawah keadaan tertentu. Boleh laku mesti dilancarkan dengan parameter tertentu (-v) yang dibekalkan semasa rantaian jangkitan, dan ia mesti mengesahkan bahawa ia berjalan pada titik akhir sebenar dan bukannya persekitaran analisis.
Perlindungan Anti-Analisis dan Keupayaan Operasi
Sebelum mengaktifkan keupayaan pintu belakangnya, perisian hasad akan menyemak sama ada alat pemantauan keselamatan atau forensik sedang berjalan. Pelaksanaan dihentikan jika aplikasi seperti Wireshark, Procmon, Ollydbg atau Fiddler dikesan, sekali gus merumitkan lagi usaha analisis.
Sebaik sahaja diaktifkan, pintu belakang MeowMeow menyediakan penyerang dengan beberapa keupayaan:
- Pelaksanaan arahan PowerShell dari jauh pada hos yang dikompromi
- Manipulasi sistem fail, termasuk membaca, menulis dan memadam fail
Fungsi-fungsi ini membolehkan penyerang melakukan operasi susulan seperti pengumpulan data, pergerakan sisi atau penggunaan muatan selanjutnya.
Artifak Bahasa Rusia dalam Kod Perisian Hasad
Semasa siasatan mereka, para penyelidik menemui rentetan bahasa Rusia yang terbenam dalam kod sumber perisian hasad, sekali gus mengukuhkan atribusi kepada pelaku ancaman berbahasa Rusia.
Kehadiran artifak ini mungkin menunjukkan salah satu daripada dua kemungkinan. Penyerang mungkin telah melakukan pengawasan keselamatan operasi dengan gagal menyetempatkan kod untuk persekitaran Ukraine. Secara alternatif, rentetan mungkin mewakili artifak pembangunan yang ditinggalkan secara tidak sengaja semasa proses penciptaan perisian hasad.
Terlepas dari puncanya, penunjuk linguistik ini menyumbang kepada penilaian atribusi yang lebih luas yang menghubungkan kempen tersebut dengan operasi siber Rusia.
