Rabatttilbud for flere lisenser
Trusseldatabase Bakdører MeowMeow Bakdør

MeowMeow Bakdør

Med Mezo i Bakdører, Advanced Persistent Threat (APT)
Oversett til:

Forskere på nettsikkerhet har avdekket en tidligere udokumentert skadevarefamilie kalt MeowMeow, som ble brukt i en cyberkampanje rettet mot ukrainske organisasjoner. Operasjonen demonstrerer en strukturert infeksjonskjede og bruk av lagdelte bedragteknikker for å kompromittere systemer og opprettholde varighet.

Basert på flere indikatorer har kampanjen med moderat sikkerhet blitt tilskrevet den russisk-statssponsede trusselaktøren APT28. Denne vurderingen er avhengig av kampanjens målrettingsmønstre, geopolitiske temaer innebygd i lokkemidlene og tekniske likheter med tidligere russiske cyberoperasjoner.

Phishing-inngangspunkt og innledende sporingsmekanisme

Angrepssekvensen begynner med en nøye utformet phishing-e-post som er utformet for å virke troverdig. Meldingen sendes fra en adresse tilknyttet ukr.net, en taktikk som sannsynligvis er ment å øke tilliten blant ukrainske mottakere.

I e-posten finnes det en lenke som hevder å føre til et ZIP-arkiv. Når offeret klikker på lenken, laster ikke nettleseren ned filen umiddelbart. I stedet laster den inn et ekstremt lite bilde som fungerer som en sporingspiksel, og signaliserer til angriperne at lenken er åpnet. Etter dette bekreftelsestrinnet blir offeret omdirigert til en annen URL hvor det skadelige ZIP-arkivet endelig lastes ned.

Bedrag gjennom et lokkemiddel fra regjeringen

Når arkivet er pakket ut, starter infeksjonskjeden en HTML-applikasjonsfil (HTA). HTA-en utfører to handlinger samtidig:

  • Viser et lokkedokument skrevet på ukrainsk knyttet til grensepasseringsklager.
  • Starter ytterligere ondsinnede prosesser i bakgrunnen.

Dokumentet fungerer som en sosial manipulasjonsmekanisme ved å presentere det som ser ut til å være en bekreftelse på mottak av en klage fra myndighetene angående prosedyrer for grensepassering. Denne nøye utformede fortellingen forsterker illusjonen av legitimitet mens ondsinnet aktivitet fortsetter usett.

Sandkasseunngåelse og systemvalidering

Før infeksjonsprosessen fortsetter, utfører skadevaren kontroller for å avgjøre om den kjører i et kontrollert analysemiljø.

HTA-en spør Windows-registernøkkelen HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate for å anslå hvor lenge operativsystemet har vært installert. Hvis systemet er mindre enn ti dager gammelt, et vanlig kjennetegn ved sandkassemiljøer, avslutter den skadelige programvaren kjøringen. Dette trinnet hjelper angriperne med å unngå å bli oppdaget av automatiserte systemer for analyse av skadelig programvare.

Mekanismer for utplassering av nyttelast og vedvarende

Hvis systemet består miljøkontrollene, fortsetter skadevaren med å pakke ut flere komponenter fra det nedlastede ZIP-arkivet. To filer hentes: en VBScript-fil og et PNG-bilde som inneholder skjult kode. Disse filene skrives til disken under nye filnavn.

Persistens oppnås ved å opprette en planlagt oppgave som automatisk kjører VBScript. Skriptets primære formål er å trekke ut skadelig kode skjult i PNG-filen. Denne innebygde nyttelasten er en obfuskert .NET-laster kjent som BadPaw, som deretter starter kommunikasjon med en ekstern kommando- og kontrollserver.

BadPaw Loader og MeowMeow-bakdøren

BadPaw-lasteren fungerer som mellomliggende komponent som er ansvarlig for å laste ned ytterligere skadevaremoduler. Hovedmålet er å hente og distribuere en bakdørskjørbar fil kalt MeowMeow.

MeowMeow-applikasjonen har en uvanlig distraksjonsfunksjon i det grafiske grensesnittet. Når den synlige «MeowMeow»-knappen klikkes, viser programmet ganske enkelt en melding som lyder «Meow Meow Meow», og utfører ingen ondsinnet aktivitet. Denne oppførselen fungerer som en sekundær lokkemiddel som er ment å villede analytikere under manuell inspeksjon.

Den faktiske skadelige funksjonaliteten utløses bare under spesifikke forhold. Den kjørbare filen må startes med en bestemt parameter (-v) som er oppgitt under infeksjonskjeden, og den må bekrefte at den kjører på et reelt endepunkt i stedet for et analysemiljø.

Anti-analysebeskyttelse og driftsmuligheter

Før den aktiverer bakdørfunksjonene, sjekker skadevaren om sikkerhets- eller rettsmedisinske overvåkingsverktøy kjører. Kjøringen stoppes hvis applikasjoner som Wireshark, Procmon, Ollydbg eller Fiddler oppdages, noe som kompliserer analysearbeidet ytterligere.

Når MeowMeow-bakdøren er aktivert, gir den angripere flere muligheter:

  • Ekstern utførelse av PowerShell-kommandoer på den kompromitterte verten
  • Manipulering av filsystemer, inkludert lesing, skriving og sletting av filer

Disse funksjonene lar angripere utføre oppfølgingsoperasjoner som datainnsamling, lateral bevegelse eller videre utplassering av nyttelast.

Russiskspråklige artefakter i skadelig programvare

Under etterforskningen oppdaget forskerne russiskspråklige strenger innebygd i kildekoden til skadevaren, noe som styrker tilskrivningen til en russisktalende trusselaktør.

Tilstedeværelsen av disse artefaktene kan indikere én av to muligheter. Angriperne kan ha begått et sikkerhetstap ved å ikke ha lokalisert koden for det ukrainske miljøet. Alternativt kan strengene representere utviklingsartefakter som utilsiktet ble etterlatt under opprettelsesprosessen for skadelig programvare.

Uavhengig av årsaken, bidrar disse språklige indikatorene til den bredere attribusjonsvurderingen som knytter kampanjen til russiske cyberoperasjoner.

Trender

Mest sett

Laster inn...