Oferta rabatowa na wiele licencji
Baza danych zagrożeń Tylne drzwi MeowMeow Tylne Drzwi

MeowMeow Tylne Drzwi

Do Mezo w Tylne drzwi, Zaawansowane trwałe zagrożenie (APT)
Przetłumacz na:

Badacze cyberbezpieczeństwa odkryli nieudokumentowaną wcześniej rodzinę złośliwego oprogramowania o nazwie MeowMeow, wdrożoną w cyberkampanii wymierzonej w organizacje ukraińskie. Operacja ta demonstruje ustrukturyzowany łańcuch infekcji i wykorzystanie wielowarstwowych technik oszustwa w celu naruszenia bezpieczeństwa systemów i utrzymania ich trwałości.

Na podstawie wielu wskaźników, kampania została przypisana z umiarkowanym prawdopodobieństwem rosyjskiemu państwowemu cyberprzestępcy APT28. Ocena ta opiera się na schematach ataków, geopolitycznych motywach zawartych w przynętach oraz technicznych podobieństwach do wcześniejszych rosyjskich operacji cybernetycznych.

Punkt wejścia phishingu i początkowy mechanizm śledzenia

Sekwencja ataku rozpoczyna się od starannie przygotowanego e-maila phishingowego, mającego sprawiać wrażenie wiarygodnego. Wiadomość jest wysyłana z adresu powiązanego z ukr.net, co prawdopodobnie ma na celu zwiększenie zaufania wśród ukraińskich odbiorców.

W e-mailu znajduje się link rzekomo prowadzący do archiwum ZIP. Po kliknięciu linku przez ofiarę, przeglądarka nie pobiera od razu pliku. Zamiast tego ładuje niezwykle mały obraz, który działa jak piksel śledzący, sygnalizując atakującym, że link został otwarty. Po tym etapie potwierdzenia ofiara zostaje przekierowana na inny adres URL, z którego ostatecznie pobierane jest złośliwe archiwum ZIP.

Oszustwo za pomocą rządowego dokumentu-pułapki

Po rozpakowaniu archiwum łańcuch infekcji uruchamia plik aplikacji HTML (HTA). HTA wykonuje jednocześnie dwie czynności:

  • Wyświetla dokument wabiący, napisany w języku ukraińskim, dotyczący apeli o przekraczanie granicy.
  • Inicjuje dodatkowe złośliwe procesy w tle.

Dokument działa jak mechanizm socjotechniczny, przedstawiając coś, co wygląda na potwierdzenie otrzymania rządowego odwołania dotyczącego procedur przekraczania granicy. Ta starannie skonstruowana narracja wzmacnia iluzję legalności, podczas gdy złośliwe działania nadal pozostają niezauważone.

Unikanie piaskownicy i walidacja systemu

Zanim rozpocznie się proces infekcji, złośliwe oprogramowanie sprawdza, czy działa w kontrolowanym środowisku analitycznym.

Aplikacja HTA odpytuje klucz rejestru systemu Windows HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate, aby oszacować, jak długo system operacyjny jest zainstalowany. Jeśli system ma mniej niż dziesięć dni, co jest typową cechą środowisk sandbox, złośliwe oprogramowanie przerywa działanie. Ten krok pomaga atakującym uniknąć wykrycia przez zautomatyzowane systemy analizy złośliwego oprogramowania.

Mechanizmy rozmieszczania i trwałości ładunku

Jeśli system przejdzie kontrolę środowiska, złośliwe oprogramowanie rozpocznie wyodrębnianie dodatkowych komponentów z pobranego archiwum ZIP. Pobrane zostaną dwa pliki: plik VBScript i obraz PNG zawierający ukryty kod. Pliki te zostaną zapisane na dysku pod nowymi nazwami.

Trwałość osiąga się poprzez utworzenie zaplanowanego zadania, które automatycznie uruchamia skrypt VBScript. Głównym celem skryptu jest wyodrębnienie złośliwego kodu ukrytego w pliku PNG. Ten osadzony ładunek to zaciemniony moduł ładujący .NET znany jako BadPaw, który następnie inicjuje komunikację ze zdalnym serwerem poleceń i kontroli.

BadPaw Loader i tylne drzwi MeowMeow

Program ładujący BadPaw służy jako komponent pośredniczący odpowiedzialny za pobieranie dodatkowych modułów złośliwego oprogramowania. Jego głównym celem jest pobranie i wdrożenie pliku wykonywalnego backdoora o nazwie MeowMeow.

Aplikacja MeowMeow zawiera w swoim interfejsie graficznym nietypową funkcję rozpraszającą uwagę. Po kliknięciu widocznego przycisku „MeowMeow” program wyświetla jedynie komunikat „Meow Meow Meow”, nie podejmując żadnych szkodliwych działań. To zachowanie działa jako dodatkowa pułapka, mająca na celu zmylenie analityków podczas ręcznej inspekcji.

Rzeczywista szkodliwa funkcjonalność jest aktywowana tylko w określonych warunkach. Plik wykonywalny musi zostać uruchomiony z określonym parametrem (-v) podanym w łańcuchu infekcji i musi potwierdzić, że działa na rzeczywistym punkcie końcowym, a nie w środowisku analitycznym.

Zabezpieczenia antyanalizowe i możliwości operacyjne

Przed aktywacją funkcji backdoor, złośliwe oprogramowanie sprawdza, czy uruchomione są narzędzia bezpieczeństwa lub narzędzia do monitoringu kryminalistycznego. Działanie jest wstrzymywane w przypadku wykrycia aplikacji takich jak Wireshark, Procmon, Ollydbg lub Fiddler, co dodatkowo komplikuje analizę.

Po aktywacji tylne wejście MeowMeow zapewnia atakującym kilka możliwości:

  • Zdalne wykonywanie poleceń programu PowerShell na zainfekowanym hoście
  • Manipulowanie systemem plików, w tym odczytywanie, zapisywanie i usuwanie plików

Funkcje te umożliwiają atakującym wykonywanie dalszych operacji, takich jak zbieranie danych, przemieszczanie się w bok lub dalsze rozmieszczanie ładunku.

Artefakty rosyjskojęzyczne w kodzie złośliwego oprogramowania

Podczas śledztwa badacze odkryli w kodzie źródłowym złośliwego oprogramowania ciągi znaków w języku rosyjskim, co wzmocniło hipotezę, że za atakiem stoi rosyjskojęzyczny aktor.

Obecność tych artefaktów może wskazywać na jedną z dwóch możliwości. Atakujący mogli dopuścić się niedopatrzenia w zakresie bezpieczeństwa operacyjnego, nie lokalizując kodu dla środowiska ukraińskiego. Alternatywnie, ciągi znaków mogą reprezentować artefakty programistyczne, nieumyślnie pozostawione podczas tworzenia złośliwego oprogramowania.

Bez względu na przyczynę, te wskaźniki językowe przyczyniają się do szerszej oceny atrybucji łączącej kampanię z rosyjskimi operacjami cybernetycznymi.

Popularne

Najczęściej oglądane

Ładowanie...