МяуМяу Задняя дверь
Исследователи в области кибербезопасности обнаружили ранее не описанное семейство вредоносных программ под названием MeowMeow, использованное в киберкампании, направленной против украинских организаций. Операция демонстрирует структурированную цепочку заражения и использование многоуровневых методов обмана для компрометации систем и обеспечения постоянного присутствия в сети.
На основании множества показателей, с умеренной степенью уверенности, эта кампания была приписана российской государственной киберпреступной группировке APT28. Эта оценка основана на моделях таргетинга кампании, геополитических темах, заложенных в приманках, и техническом сходстве с более ранними российскими кибер-операциями.
Оглавление
Точка входа в фишинг и механизм первоначального отслеживания
Последовательность атак начинается с тщательно составленного фишингового электронного письма, призванного выглядеть правдоподобно. Сообщение отправляется с адреса, связанного с ukr.net, что, вероятно, является тактикой, направленной на повышение доверия среди украинских получателей.
В электронном письме содержится ссылка, якобы ведущая к ZIP-архиву. Когда жертва переходит по ссылке, браузер не сразу загружает файл. Вместо этого он загружает очень маленькое изображение, которое функционирует как пиксель отслеживания, сигнализируя злоумышленникам о том, что ссылка была открыта. После этого этапа подтверждения жертва перенаправляется на другой URL-адрес, где, наконец, загружается вредоносный ZIP-архив.
Обман с помощью поддельного правительственного документа
После извлечения архива цепочка заражения запускает HTML-приложение (HTA). HTA одновременно выполняет два действия:
- Предъявлен документ, составленный на украинском языке, содержащий призывы к действию при пересечении границы.
- Запускает дополнительные вредоносные процессы в фоновом режиме.
Этот документ выступает в роли механизма социальной инженерии, представляя собой, по-видимому, подтверждение получения правительственной апелляции, касающейся процедур пересечения границы. Тщательно продуманный нарратив усиливает иллюзию легитимности, в то время как злонамеренная деятельность продолжается незаметно.
Обход песочницы и проверка системы
Перед началом процесса заражения вредоносная программа выполняет проверку, чтобы определить, работает ли она в контролируемой аналитической среде.
HTA запрашивает ключ реестра Windows HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate, чтобы оценить, как давно установлена операционная система. Если системе меньше десяти дней, что является распространенной характеристикой песочниц, вредоносная программа прекращает выполнение. Этот шаг помогает злоумышленникам избежать обнаружения автоматизированными системами анализа вредоносных программ.
Механизмы развертывания и обеспечения устойчивости полезной нагрузки
Если система проходит проверку среды, вредоносная программа приступает к извлечению дополнительных компонентов из загруженного ZIP-архива. Извлекаются два файла: файл VBScript и изображение PNG, содержащее скрытый код. Эти файлы записываются на диск под новыми именами.
Защита от повторного заражения обеспечивается созданием запланированной задачи, которая автоматически выполняет VBScript. Основная цель скрипта — извлечение вредоносного кода, скрытого в PNG-файле. Эта встроенная полезная нагрузка представляет собой обфусцированный загрузчик .NET, известный как BadPaw, который затем инициирует связь с удаленным сервером управления и контроля.
BadPaw Loader и MeowMeow Backdoor
Загрузчик BadPaw выступает в качестве промежуточного компонента, отвечающего за загрузку дополнительных модулей вредоносного ПО. Его основная задача — получить и развернуть исполняемый файл бэкдора под названием MeowMeow.
Приложение MeowMeow включает в себя необычную отвлекающую функцию в своем графическом интерфейсе. При нажатии на видимую кнопку «MeowMeow» программа просто отображает сообщение «Meow Meow Meow», не совершая никаких вредоносных действий. Такое поведение служит дополнительной приманкой, призванной ввести аналитиков в заблуждение во время ручной проверки.
Фактически вредоносная функциональность активируется только при определенных условиях. Исполняемый файл должен быть запущен с определенным параметром (-v), указанным в процессе заражения, и должно быть подтверждено, что он работает на реальной конечной точке, а не в среде анализа.
Защита от анализа и оперативные возможности
Перед активацией своих функций бэкдора вредоносная программа проверяет, запущены ли инструменты мониторинга безопасности или криминалистического анализа. Выполнение останавливается, если обнаруживаются такие приложения, как Wireshark, Procmon, Ollydbg или Fiddler, что еще больше усложняет анализ.
После активации бэкдор MeowMeow предоставляет злоумышленникам ряд возможностей:
- Удаленное выполнение команд PowerShell на скомпрометированном хосте.
- Манипулирование файловой системой, включая чтение, запись и удаление файлов.
Эти функции позволяют злоумышленникам выполнять последующие операции, такие как сбор данных, горизонтальное перемещение или дальнейшее развертывание полезной нагрузки.
Русскоязычные артефакты в коде вредоносного ПО
В ходе расследования исследователи обнаружили в исходном коде вредоносного ПО строки на русском языке, что укрепило предположение о причастности к преступлению русскоязычного злоумышленника.
Наличие этих артефактов может указывать на одну из двух возможностей. Злоумышленники могли допустить операционную ошибку в области безопасности, не локализовав код для украинской среды. В качестве альтернативы, эти строки могут представлять собой артефакты разработки, непреднамеренно оставленные в процессе создания вредоносного ПО.
Независимо от причины, эти лингвистические индикаторы способствуют более широкой оценке причастности к кампании и связывают ее с российскими кибер-операциями.
