Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Ușile din spate MiauMiau Ușă din spate

MiauMiau Ușă din spate

Până în Mezo în Ușile din spate, Amenințare persistentă avansată (APT)
Tradu in:

Cercetătorii în domeniul securității cibernetice au descoperit o familie de programe malware nedocumentate anterior, numită MeowMeow, implementată într-o campanie cibernetică care viza organizații ucrainene. Operațiunea demonstrează un lanț de infectare structurat și utilizarea unor tehnici de înșelăciune stratificată pentru a compromite sistemele și a menține persistența.

Pe baza mai multor indicatori, campania a fost atribuită cu o încredere moderată actorului de amenințare APT28, sponsorizat de statul rus. Această evaluare se bazează pe modelele de direcționare ale campaniei, temele geopolitice încorporate în momeli și asemănările tehnice cu operațiunile cibernetice rusești anterioare.

Punct de intrare pentru phishing și mecanism inițial de urmărire

Secvența de atac începe cu un e-mail de phishing atent elaborat, conceput pentru a părea credibil. Mesajul este trimis de la o adresă asociată cu ukr.net, o tactică menită probabil să sporească încrederea în rândul destinatarilor ucraineni.

În e-mail se află un link care pretinde că duce la o arhivă ZIP. Când victima dă clic pe link, browserul nu descarcă imediat fișierul. În schimb, încarcă o imagine extrem de mică care funcționează ca un pixel de urmărire, semnalând atacatorilor că linkul a fost deschis. După acest pas de confirmare, victima este redirecționată către o altă adresă URL unde este în final descărcată arhiva ZIP rău intenționată.

Înșelăciune printr-un document guvernamental momeală

Odată ce arhiva este extrasă, lanțul de infecție lansează un fișier de tip aplicație HTML (HTA). HTA efectuează simultan două acțiuni:

  • Afișează un document de ademenire scris în ucraineană, referitor la apelurile la trecerea frontierei.
  • Inițiază procese malițioase suplimentare în fundal.

Documentul acționează ca un mecanism de inginerie socială, prezentând ceea ce pare a fi o confirmare de primire a unui apel guvernamental privind procedurile de trecere a frontierei. Această narațiune atent elaborată întărește iluzia legitimității, în timp ce activitatea rău intenționată continuă nevăzută.

Evitarea Sandbox-ului și Validarea Sistemului

Înainte de a continua procesul de infectare, malware-ul efectuează verificări pentru a determina dacă rulează într-un mediu de analiză controlat.

HTA interoghează cheia de registry Windows HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate pentru a estima de cât timp a fost instalat sistemul de operare. Dacă sistemul are o vechime mai mică de zece zile, o caracteristică comună a mediilor sandbox, malware-ul își oprește execuția. Acest pas îi ajută pe atacatori să evite detectarea de către sistemele automate de analiză a malware-ului.

Implementarea sarcinii utile și mecanismele de persistență

Dacă sistemul trece verificările de mediu, malware-ul continuă să extragă componente suplimentare din arhiva ZIP descărcată. Sunt recuperate două fișiere: un fișier VBScript și o imagine PNG care conține cod ascuns. Aceste fișiere sunt scrise pe disc sub nume de fișiere noi.

Persistența se obține prin crearea unei sarcini programate care execută automat VBScript-ul. Scopul principal al scriptului este de a extrage codul malițios ascuns în fișierul PNG. Această sarcină utilă încorporată este un încărcător .NET ofuscat, cunoscut sub numele de BadPaw, care inițiază apoi comunicarea cu un server de comandă și control la distanță.

Încărcătorul BadPaw și ușa din spate MeowMeow

Încărcătorul BadPaw servește drept componentă intermediară responsabilă pentru descărcarea modulelor suplimentare de malware. Obiectivul său principal este de a recupera și implementa un executabil backdoor numit MeowMeow.

Aplicația MeowMeow include o funcție neobișnuită de distragere a atenției în interfața sa grafică. Când se face clic pe butonul vizibil „MeowMeow”, programul afișează pur și simplu un mesaj cu textul „Meow Meow Meow”, fără a efectua nicio activitate rău intenționată. Acest comportament acționează ca o momeală secundară menită să inducă în eroare analiștii în timpul inspecției manuale.

Funcționalitatea malware propriu-zisă este declanșată doar în anumite condiții. Executabilul trebuie lansat cu un anumit parametru (-v) furnizat în timpul lanțului de infectare și trebuie să confirme că rulează pe un endpoint real, nu într-un mediu de analiză.

Protecții anti-analiză și capacități operaționale

Înainte de a-și activa capacitățile de backdoor, malware-ul verifică dacă rulează instrumente de securitate sau de monitorizare forensică. Execuția este oprită dacă sunt detectate aplicații precum Wireshark, Procmon, Ollydbg sau Fiddler, ceea ce complică și mai mult eforturile de analiză.

Odată activat, backdoor-ul MeowMeow oferă atacatorilor mai multe capabilități:

  • Executarea la distanță a comenzilor PowerShell pe gazda compromisă
  • Manipularea sistemului de fișiere, inclusiv citirea, scrierea și ștergerea fișierelor

Aceste funcții permit atacatorilor să efectueze operațiuni ulterioare, cum ar fi colectarea de date, mișcarea laterală sau implementarea ulterioară a sarcinii utile.

Artefacte în limba rusă în codul malware

În timpul investigației lor, cercetătorii au descoperit șiruri de caractere în limba rusă încorporate în codul sursă al malware-ului, ceea ce întărește atribuirea către un actor de amenințare vorbitor de limbă rusă.

Prezența acestor artefacte poate indica una din două posibilități. Atacatorii ar fi putut comite o omisiune de securitate operațională prin faptul că nu au localizat codul pentru mediul ucrainean. Alternativ, șirurile de caractere pot reprezenta artefacte de dezvoltare lăsate în urmă în mod neintenționat în timpul procesului de creare a malware-ului.

Indiferent de cauză, acești indicatori lingvistici contribuie la evaluarea mai amplă a atribuirii care leagă campania de operațiunile cibernetice rusești.

Trending

Cele mai văzute

Se încarcă...