Multilicenčná zľavová ponuka
Databáza hrozieb Zadné vrátka Zadné vrátka MeowMeow

Zadné vrátka MeowMeow

Do roku Mezo v roku Zadné vrátka, Pokročilá perzistentná hrozba (APT)
Preložiť do:

Výskumníci v oblasti kybernetickej bezpečnosti odhalili doteraz nezdokumentovanú rodinu malvéru s názvom MeowMeow, ktorá bola nasadená v kybernetickej kampani zameranej na ukrajinské organizácie. Operácia demonštruje štruktúrovaný infekčný reťazec a používanie viacvrstvových klamlivých techník na kompromitovanie systémov a udržanie ich trvalosti.

Na základe viacerých ukazovateľov bola kampaň s miernou istotou pripísaná ruskému štátom sponzorovanému aktérovi hrozby APT28. Toto hodnotenie sa opiera o cielené vzorce kampane, geopolitické témy zakotvené v návnadách a technické podobnosti s predchádzajúcimi ruskými kybernetickými operáciami.

Vstupný bod phishingu a počiatočný mechanizmus sledovania

Útočná sekvencia začína starostlivo vytvoreným phishingovým e-mailom, ktorý má pôsobiť dôveryhodne. Správa je odoslaná z adresy spojenej s doménou ukr.net, čo je taktika, ktorá má pravdepodobne zvýšiť dôveru medzi ukrajinskými príjemcami.

V e-maile sa nachádza odkaz, ktorý údajne vedie na ZIP archív. Keď obeť klikne na odkaz, prehliadač súbor okamžite nestiahne. Namiesto toho načíta extrémne malý obrázok, ktorý funguje ako sledovací pixel a útočníkom signalizuje, že odkaz bol otvorený. Po tomto potvrdzovacom kroku je obeť presmerovaná na inú URL adresu, kde sa škodlivý ZIP archív nakoniec stiahne.

Klamstvo prostredníctvom klamlivého vládneho dokumentu

Po rozbalení archívu infekčný reťazec spustí súbor HTML aplikácie (HTA). HTA súčasne vykoná dve akcie:

  • Zobrazuje lákavý dokument napísaný v ukrajinčine, ktorý sa týka odvolaní sa na prekročenie hraníc.
  • Spúšťa ďalšie škodlivé procesy na pozadí.

Dokument funguje ako mechanizmus sociálneho inžinierstva tým, že predkladá niečo, čo sa javí ako potvrdenie o prijatí vládnej výzvy týkajúcej sa postupov pri prekračovaní hraníc. Tento starostlivo vytvorený naratív posilňuje ilúziu legitimity, zatiaľ čo škodlivá činnosť pokračuje neviditeľne.

Obchádzanie sandboxu a validácia systému

Predtým, ako škodlivý softvér pokračuje v procese infikovania, vykoná kontroly, aby zistil, či beží v kontrolovanom analytickom prostredí.

Analýza vírusov a vírusov (HTA) sa dotazuje na kľúč databázy Registry systému Windows HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate, aby odhadla, ako dlho je operačný systém nainštalovaný. Ak je systém mladší ako desať dní, čo je bežná charakteristika prostredí sandbox, malvér ukončí svoje vykonávanie. Tento krok pomáha útočníkom vyhnúť sa detekcii automatizovanými systémami na analýzu malvéru.

Mechanizmy nasadenia a perzistencie užitočného zaťaženia

Ak systém prejde kontrolami prostredia, malvér začne extrahovať ďalšie komponenty zo stiahnutého ZIP archívu. Získajú sa dva súbory: súbor VBScript a obrázok PNG obsahujúci skrytý kód. Tieto súbory sa zapíšu na disk pod novými názvami súborov.

Perzistencia sa dosahuje vytvorením naplánovanej úlohy, ktorá automaticky spustí VBScript. Hlavným účelom skriptu je extrahovať škodlivý kód skrytý v súbore PNG. Toto vložené užitočné zaťaženie je obfuskovaný .NET zavádzač známy ako BadPaw, ktorý potom iniciuje komunikáciu so vzdialeným serverom príkazov a riadenia.

BadPaw Loader a zadné vrátka MeowMeow

Zavádzač BadPaw slúži ako sprostredkovateľský komponent zodpovedný za sťahovanie ďalších modulov malvéru. Jeho hlavným cieľom je získať a nasadiť spustiteľný súbor backdoor s názvom MeowMeow.

Aplikácia MeowMeow obsahuje vo svojom grafickom rozhraní nezvyčajnú funkciu rozptyľovania. Po kliknutí na viditeľné tlačidlo „MeowMeow“ program jednoducho zobrazí správu s textom „Meow Meow Meow Meow“ bez vykonania žiadnej škodlivej činnosti. Toto správanie slúži ako sekundárna návnada, ktorej cieľom je zavádzať analytikov počas manuálnej kontroly.

Skutočná škodlivá funkcia sa spúšťa iba za určitých podmienok. Spustiteľný súbor musí byť spustený s konkrétnym parametrom (-v) zadaným počas infekčného reťazca a musí potvrdiť, že beží na skutočnom koncovom bode, a nie v analytickom prostredí.

Ochrana pred analýzou a prevádzkové možnosti

Pred aktiváciou svojich zadných vrátok malvér skontroluje, či sú spustené bezpečnostné alebo forenzné monitorovacie nástroje. Ak sa zistia aplikácie ako Wireshark, Procmon, Ollydbg alebo Fiddler, vykonávanie sa zastaví, čo ďalej komplikuje analytické úsilie.

Po aktivácii poskytujú zadné vrátka MeowMeow útočníkom niekoľko možností:

  • Vzdialené vykonávanie príkazov PowerShellu na napadnutom hostiteľovi
  • Manipulácia so súborovým systémom vrátane čítania, zápisu a mazania súborov

Tieto funkcie umožňujú útočníkom vykonávať následné operácie, ako je zber údajov, laterálny pohyb alebo ďalšie nasadenie užitočného zaťaženia.

Ruskojazyčné artefakty v kóde škodlivého softvéru

Počas vyšetrovania výskumníci objavili reťazce v ruskom jazyku vložené do zdrojového kódu malvéru, čo posilňuje pripisovanie rusky hovoriacej hrozbe.

Prítomnosť týchto artefaktov môže naznačovať jednu z dvoch možností. Útočníci sa mohli dopustiť prehliadnutia operačnej bezpečnosti tým, že nelokalizovali kód pre ukrajinské prostredie. Prípadne môžu reťazce predstavovať vývojové artefakty, ktoré neúmyselne zostali počas procesu vytvárania škodlivého softvéru.

Bez ohľadu na príčinu, tieto jazykové indikátory prispievajú k širšiemu posúdeniu pripisovania kampane ruským kybernetickým operáciám.

Trendy

Najviac videné

Načítava...