MeowMeow Achterdeur
Onderzoekers op het gebied van cyberbeveiliging hebben een voorheen onbekende malwarefamilie ontdekt, genaamd MeowMeow, die werd ingezet in een cyberaanval gericht op Oekraïense organisaties. De operatie toont een gestructureerde infectieketen en het gebruik van gelaagde misleidingstechnieken om systemen te compromitteren en persistentie te behouden.
Op basis van meerdere indicatoren wordt de campagne met redelijke zekerheid toegeschreven aan de door de Russische staat gesteunde dreigingsactor APT28. Deze inschatting is gebaseerd op de doelgerichte aanpak van de campagne, de geopolitieke thema's die in de lokmiddelen verwerkt zijn en de technische overeenkomsten met eerdere Russische cyberaanvallen.
Inhoudsopgave
Toegangspunt voor phishing en initieel opsporingsmechanisme
De aanval begint met een zorgvuldig opgestelde phishing-e-mail die geloofwaardig overkomt. Het bericht wordt verzonden vanaf een adres dat is gekoppeld aan ukr.net, een tactiek die waarschijnlijk bedoeld is om het vertrouwen van Oekraïense ontvangers te vergroten.
In de e-mail staat een link die zogenaamd naar een ZIP-archief leidt. Wanneer het slachtoffer op de link klikt, downloadt de browser het bestand niet direct. In plaats daarvan laadt de browser een extreem kleine afbeelding die fungeert als trackingpixel en de aanvallers laat weten dat de link is geopend. Na deze bevestigingsstap wordt het slachtoffer doorgestuurd naar een andere URL waar het schadelijke ZIP-archief uiteindelijk wordt gedownload.
Misleiding door middel van een vals overheidsdocument
Zodra het archief is uitgepakt, start de infectieketen een HTML-applicatie (HTA)-bestand. De HTA voert gelijktijdig twee acties uit:
- Toont een lokdocument in het Oekraïens met betrekking tot oproepen tot grensovergang.
- Start extra kwaadaardige processen op de achtergrond.
Het document fungeert als een vorm van sociale manipulatie door een ogenschijnlijke ontvangstbevestiging te presenteren van een beroep van de overheid betreffende grensovergangsprocedures. Dit zorgvuldig geconstrueerde verhaal versterkt de illusie van legitimiteit, terwijl de kwaadwillige activiteiten onopgemerkt doorgaan.
Sandbox-ontwijking en systeemvalidatie
Voordat de malware het infectieproces start, voert deze controles uit om te bepalen of het in een gecontroleerde analyseomgeving draait.
De HTA raadpleegt de Windows-registersleutel HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate om te schatten hoe lang het besturingssysteem al is geïnstalleerd. Als het systeem minder dan tien dagen oud is, wat vaak voorkomt in sandbox-omgevingen, stopt de malware de uitvoering. Deze stap helpt de aanvallers om detectie door geautomatiseerde malware-analysesystemen te voorkomen.
Mechanismen voor het inzetten en persistent bewaren van payloads
Als het systeem de omgevingscontroles doorstaat, gaat de malware verder met het extraheren van extra componenten uit het gedownloade ZIP-archief. Twee bestanden worden opgehaald: een VBScript-bestand en een PNG-afbeelding met verborgen code. Deze bestanden worden onder nieuwe bestandsnamen naar de schijf geschreven.
De persistentie wordt bereikt door een geplande taak te maken die het VBScript automatisch uitvoert. Het primaire doel van het script is het extraheren van kwaadaardige code die verborgen zit in het PNG-bestand. Deze ingebedde payload is een geobfusceerde .NET-loader genaamd BadPaw, die vervolgens communicatie initieert met een externe command-and-control-server.
BadPaw Loader en de MeowMeow Backdoor
De BadPaw-loader fungeert als tussenliggende component die verantwoordelijk is voor het downloaden van extra malwaremodules. Het belangrijkste doel ervan is het ophalen en installeren van een backdoor-executable genaamd MeowMeow.
De MeowMeow-applicatie bevat een ongebruikelijke afleidingsfunctie in de grafische interface. Wanneer op de zichtbare 'MeowMeow'-knop wordt geklikt, toont het programma simpelweg de boodschap 'Meow Meow Meow', zonder enige kwaadaardige activiteit uit te voeren. Dit gedrag dient als een secundaire afleidingsmanoeuvre om analisten tijdens handmatige inspectie te misleiden.
De daadwerkelijke kwaadaardige functionaliteit wordt alleen onder specifieke voorwaarden geactiveerd. Het uitvoerbare bestand moet worden gestart met een bepaalde parameter (-v) die tijdens de infectieketen wordt meegegeven, en het moet bevestigen dat het op een echt eindpunt draait en niet in een analyseomgeving.
Bescherming tegen analyse en operationele mogelijkheden
Voordat de malware zijn backdoor-functionaliteit activeert, controleert hij of er beveiligings- of forensische monitoringtools actief zijn. De uitvoering wordt gestopt als applicaties zoals Wireshark, Procmon, Ollydbg of Fiddler worden gedetecteerd, wat de analyse verder bemoeilijkt.
Eenmaal geactiveerd, biedt de MeowMeow-achterdeur aanvallers verschillende mogelijkheden:
- Uitvoeren van PowerShell-opdrachten op afstand op de gecompromitteerde host
- Bestandsysteemmanipulatie, inclusief het lezen, schrijven en verwijderen van bestanden.
Deze functies stellen aanvallers in staat vervolgacties uit te voeren, zoals het verzamelen van gegevens, laterale verplaatsing of het verder verspreiden van schadelijke software.
Artefacten in de Russische taal in de malwarecode
Tijdens hun onderzoek ontdekten de onderzoekers Russischtalige tekens in de broncode van de malware, wat de aanwijzing dat het om een Russischsprekende dader ging, versterkte.
De aanwezigheid van deze artefacten kan op twee dingen wijzen. De aanvallers hebben mogelijk een operationele beveiligingsfout gemaakt door de code niet aan te passen aan de Oekraïense omgeving. Een andere mogelijkheid is dat de tekenreeksen ontwikkelingsartefacten vertegenwoordigen die onbedoeld zijn achtergebleven tijdens het creëren van de malware.
Ongeacht de oorzaak dragen deze taalkundige indicatoren bij aan de bredere beoordeling van de daderbenaming, die de campagne in verband brengt met Russische cyberaanvallen.
