MeowMeow Backdoor

साइबर सुरक्षा अनुसन्धानकर्ताहरूले युक्रेनी संस्थाहरूलाई लक्षित गर्दै साइबर अभियानमा तैनाथ गरिएको म्याउ म्याउ नामक पहिले कागजात नगरिएको मालवेयर परिवार पत्ता लगाएका छन्। यो अपरेशनले संरचित संक्रमण श्रृंखला र प्रणालीहरूलाई सम्झौता गर्न र स्थिरता कायम राख्न तहबद्ध छलकपट प्रविधिहरूको प्रयोग प्रदर्शन गर्दछ।

धेरै सूचकहरूको आधारमा, अभियानलाई मध्यम विश्वासका साथ रूसी राज्य-प्रायोजित खतरा अभिनेता APT28 लाई श्रेय दिइएको छ। यो मूल्याङ्कन अभियानको लक्षित ढाँचा, प्रलोभनमा सम्मिलित भूराजनीतिक विषयवस्तुहरू, र पहिलेका रूसी साइबर अपरेशनहरूसँगको प्राविधिक समानताहरूमा निर्भर गर्दछ।

फिसिङ प्रवेश बिन्दु र प्रारम्भिक ट्र्याकिङ संयन्त्र

आक्रमणको क्रम विश्वसनीय देखिन डिजाइन गरिएको सावधानीपूर्वक तयार पारिएको फिसिङ इमेलबाट सुरु हुन्छ। यो सन्देश ukr.net सँग सम्बन्धित ठेगानाबाट पठाइएको हो, जुन युक्रेनी प्राप्तकर्ताहरू बीच विश्वास बढाउने उद्देश्यले गरिएको एक रणनीति हुन सक्छ।

इमेल भित्र एउटा लिङ्क छ जसले ZIP अभिलेखमा लैजाने दाबी गर्दछ। जब पीडितले लिङ्कमा क्लिक गर्छ, ब्राउजरले तुरुन्तै फाइल डाउनलोड गर्दैन। बरु, यसले ट्र्याकिङ पिक्सेलको रूपमा काम गर्ने अत्यन्तै सानो छवि लोड गर्छ, जसले आक्रमणकारीहरूलाई लिङ्क खोलिएको संकेत दिन्छ। यो पुष्टिकरण चरण पछि, पीडितलाई अर्को URL मा रिडिरेक्ट गरिन्छ जहाँ दुर्भावनापूर्ण ZIP अभिलेख अन्ततः डाउनलोड हुन्छ।

ठग सरकारी कागजात मार्फत ठगी

अभिलेख निकालेपछि, संक्रमण श्रृंखलाले HTML अनुप्रयोग (HTA) फाइल सुरु गर्छ। HTA ले एकै साथ दुई कार्यहरू गर्दछ:

• सीमा पार गर्ने अपीलसँग सम्बन्धित युक्रेनी भाषामा लेखिएको प्रलोभन कागजात प्रदर्शन गर्दछ।
• पृष्ठभूमिमा थप दुर्भावनापूर्ण प्रक्रियाहरू सुरु गर्छ।

यो दस्तावेजले सीमा पार गर्ने प्रक्रियाहरू सम्बन्धी सरकारी अपीलको प्राप्तिको पुष्टि जस्तो देखिने कुरा प्रस्तुत गरेर सामाजिक इन्जिनियरिङ संयन्त्रको रूपमा काम गर्दछ। यो सावधानीपूर्वक तयार पारिएको कथाले वैधताको भ्रमलाई बलियो बनाउँछ जबकि दुर्भावनापूर्ण गतिविधि अदृश्य रूपमा जारी रहन्छ।

स्यान्डबक्स चोरी र प्रणाली प्रमाणीकरण

संक्रमण प्रक्रिया अगाडि बढ्नु अघि, मालवेयरले यो नियन्त्रित विश्लेषण वातावरणमा चलिरहेको छ कि छैन भनेर निर्धारण गर्न जाँच गर्दछ।

HTA ले विन्डोज रजिस्ट्री कुञ्जी HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate लाई सोधपुछ गरेर अपरेटिङ सिस्टम कति समयदेखि स्थापना भएको छ भनेर अनुमान गर्छ। यदि प्रणाली दस दिन भन्दा कम पुरानो छ भने, जुन स्यान्डबक्स वातावरणको सामान्य विशेषता हो, मालवेयरले कार्यान्वयन समाप्त गर्छ। यो चरणले आक्रमणकारीहरूलाई स्वचालित मालवेयर विश्लेषण प्रणालीहरूद्वारा पत्ता लगाउनबाट बच्न मद्दत गर्छ।

पेलोड तैनाती र दृढता संयन्त्रहरू

यदि प्रणालीले वातावरणीय जाँचहरू पास गर्छ भने, मालवेयरले डाउनलोड गरिएको ZIP अभिलेखबाट थप कम्पोनेन्टहरू निकाल्न अगाडि बढ्छ। दुई फाइलहरू पुन: प्राप्त गरिन्छ: एउटा VBScript फाइल र लुकेको कोड भएको PNG छवि। यी फाइलहरू नयाँ फाइलनामहरू अन्तर्गत डिस्कमा लेखिएका हुन्छन्।

VBScript स्वचालित रूपमा कार्यान्वयन गर्ने निर्धारित कार्य सिर्जना गरेर दृढता प्राप्त गरिन्छ। स्क्रिप्टको प्राथमिक उद्देश्य PNG फाइल भित्र लुकेको दुर्भावनापूर्ण कोड निकाल्नु हो। यो एम्बेडेड पेलोड BadPaw भनेर चिनिने एक अस्पष्ट .NET लोडर हो, जसले त्यसपछि रिमोट कमाण्ड-एन्ड-कन्ट्रोल सर्भरसँग सञ्चार सुरु गर्दछ।

ब्याडपा लोडर र म्याउम्याउ ब्याकडोर

BadPaw लोडरले थप मालवेयर मोड्युलहरू डाउनलोड गर्न जिम्मेवार मध्यस्थकर्ताको रूपमा काम गर्दछ। यसको मुख्य उद्देश्य MeowMeow नामक ब्याकडोर एक्जिक्युटेबल पुन: प्राप्त गर्नु र तैनाथ गर्नु हो।

म्याउम्याउ अनुप्रयोगले यसको ग्राफिकल इन्टरफेस भित्र एक असामान्य व्याकुलता सुविधा समावेश गर्दछ। जब दृश्यमान 'म्याउम्याउ' बटन क्लिक गरिन्छ, कार्यक्रमले केवल 'म्याउ म्याउ म्याउ' पढ्ने सन्देश प्रदर्शन गर्दछ, कुनै दुर्भावनापूर्ण गतिविधि नगरी। यो व्यवहारले म्यानुअल निरीक्षणको क्रममा विश्लेषकहरूलाई भ्रमित गर्ने उद्देश्यले माध्यमिक छलको रूपमा कार्य गर्दछ।

वास्तविक दुर्भावनापूर्ण कार्यक्षमता विशेष परिस्थितिहरूमा मात्र ट्रिगर हुन्छ। कार्यान्वयनयोग्यलाई संक्रमण शृङ्खलाको समयमा आपूर्ति गरिएको विशेष प्यारामिटर (-v) सँग सुरु गर्नुपर्छ, र यसले विश्लेषण वातावरणको सट्टा वास्तविक अन्त्य बिन्दुमा चलिरहेको छ भनी पुष्टि गर्नुपर्छ।

विश्लेषण विरोधी सुरक्षा र सञ्चालन क्षमताहरू

यसको ब्याकडोर क्षमताहरू सक्रिय गर्नु अघि, मालवेयरले सुरक्षा वा फोरेन्सिक निगरानी उपकरणहरू चलिरहेका छन् कि छैनन् भनेर जाँच गर्दछ। यदि Wireshark, Procmon, Ollydbg, वा Fiddler जस्ता अनुप्रयोगहरू पत्ता लागेमा कार्यान्वयन रोकिन्छ, जसले विश्लेषण प्रयासहरूलाई थप जटिल बनाउँछ।

एकपटक सक्रिय भएपछि, म्याउम्याउ ब्याकडोरले आक्रमणकारीहरूलाई धेरै क्षमताहरू प्रदान गर्दछ:

• सम्झौता गरिएको होस्टमा PowerShell आदेशहरूको टाढाबाट कार्यान्वयन
• फाइल प्रणाली हेरफेर, जसमा फाइलहरू पढ्ने, लेख्ने र मेटाउने समावेश छ

यी प्रकार्यहरूले आक्रमणकारीहरूलाई डेटा सङ्कलन, पार्श्व आन्दोलन, वा थप पेलोड तैनाती जस्ता फलो-अन अपरेशनहरू गर्न अनुमति दिन्छ।

मालवेयर कोडमा रूसी भाषाका कलाकृतिहरू

आफ्नो अनुसन्धानको क्रममा, अनुसन्धानकर्ताहरूले मालवेयर स्रोत कोड भित्र एम्बेडेड रूसी-भाषा स्ट्रिङहरू पत्ता लगाए, जसले रूसी-भाषी खतरा अभिनेतालाई श्रेय दिन्छ।

यी कलाकृतिहरूको उपस्थितिले दुई सम्भावनाहरू मध्ये एकलाई संकेत गर्न सक्छ। आक्रमणकारीहरूले युक्रेनी वातावरणको लागि कोड स्थानीयकरण गर्न असफल भएर परिचालन सुरक्षा निरीक्षण गरेको हुन सक्छ। वैकल्पिक रूपमा, स्ट्रिङहरूले मालवेयरको सिर्जना प्रक्रियाको क्रममा अनजानमा छोडिएका विकास कलाकृतिहरूलाई प्रतिनिधित्व गर्न सक्छन्।

कारण जेसुकै भए पनि, यी भाषिक सूचकहरूले अभियानलाई रूसी साइबर अपरेशनहरूसँग जोड्ने व्यापक एट्रिब्युसन मूल्याङ्कनमा योगदान पुर्‍याउँछन्।