Popust za več licenc
Podjetje o grožnjah Zadnja vrata Zadnja vrata MeowMeow

Zadnja vrata MeowMeow

Do leta Mezo leta Zadnja vrata, Napredna trajna grožnja (APT)
Prevedi v:

Raziskovalci kibernetske varnosti so odkrili prej nedokumentirano družino zlonamerne programske opreme z imenom MeowMeow, ki je bila uporabljena v kibernetski kampanji, usmerjeni proti ukrajinskim organizacijam. Operacija prikazuje strukturirano verigo okužb in uporabo večplastnih tehnik prevare za ogrožanje sistemov in ohranjanje njihove obstojnosti.

Na podlagi več kazalnikov je bila kampanja z zmerno gotovostjo pripisana ruskemu državno sponzoriranemu akterju grožnje APT28. Ta ocena temelji na vzorcih ciljanja kampanje, geopolitičnih temah, vgrajenih v vabe, in tehničnih podobnostih s prejšnjimi ruskimi kibernetskimi operacijami.

Vstopna točka lažnega predstavljanja in začetni mehanizem sledenja

Zaporedje napadov se začne s skrbno oblikovanim lažnim e-poštnim sporočilom, ki je zasnovano tako, da deluje verodostojno. Sporočilo je poslano z naslova, povezanega z ukr.net, kar je taktika, ki je verjetno namenjena povečanju zaupanja med ukrajinskimi prejemniki.

V e-poštnem sporočilu je povezava, ki naj bi vodila do ZIP arhiva. Ko žrtev klikne povezavo, brskalnik datoteke ne prenese takoj. Namesto tega naloži izjemno majhno sliko, ki deluje kot sledilna slikovna pika in napadalcem sporoča, da je bila povezava odprta. Po tem koraku potrditve je žrtev preusmerjena na drug URL, kjer se zlonamerni ZIP arhiv dokončno prenese.

Prevara z lažnim vladnim dokumentom

Ko je arhiv razpakiran, veriga okužbe zažene datoteko HTML aplikacije (HTA). HTA hkrati izvede dve dejanji:

  • Prikazuje dokument o vabi, napisan v ukrajinščini, v zvezi s pritožbami pri prečkanju meje.
  • V ozadju sproži dodatne zlonamerne procese.

Dokument deluje kot mehanizem socialnega inženiringa, saj predstavlja nekaj, kar je videti kot potrdilo o prejemu vladne pritožbe glede postopkov prečkanja meje. Ta skrbno izdelana pripoved krepi iluzijo legitimnosti, medtem ko zlonamerna dejavnost ostane neopažena.

Izogibanje peskovniku in validacija sistema

Preden se zlonamerna programska oprema okruši, preveri, ali se izvaja v nadzorovanem analitičnem okolju.

HTA poizveduje v registru sistema Windows HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate, da oceni, kako dolgo je operacijski sistem nameščen. Če je sistem star manj kot deset dni, kar je pogosta značilnost peskovnih okolij, zlonamerna programska oprema prekine izvajanje. Ta korak pomaga napadalcem, da se izognejo odkrivanju s strani avtomatiziranih sistemov za analizo zlonamerne programske opreme.

Mehanizmi za uvajanje in ohranjanje koristnega tovora

Če sistem opravi preverjanja okolja, zlonamerna programska oprema iz prenesene ZIP-arhivske datoteke ekstrahira dodatne komponente. Pridobi dve datoteki: datoteko VBScript in sliko PNG, ki vsebuje skrito kodo. Ti datoteki se zapišeta na disk pod novimi imeni datotek.

Vztrajnost se doseže z ustvarjanjem načrtovane naloge, ki samodejno izvede VBScript. Glavni namen skripte je izvleči zlonamerno kodo, skrito v datoteki PNG. Ta vdelana koristna obremenitev je zakriti nalagalnik .NET, znan kot BadPaw, ki nato vzpostavi komunikacijo z oddaljenim strežnikom za upravljanje in nadzor.

BadPaw Loader in zadnja vrata MeowMeow

Nalagalnik BadPaw služi kot vmesna komponenta, odgovorna za prenos dodatnih modulov zlonamerne programske opreme. Njegov glavni cilj je pridobiti in namestiti izvršljivo datoteko z imenom MeowMeow, ki deluje kot stranska vrata.

Aplikacija MeowMeow ima v svojem grafičnem vmesniku nenavadno funkcijo za odvračanje pozornosti. Ko kliknete vidni gumb »MeowMeow«, program preprosto prikaže sporočilo »Meow Meow Meow«, ne da bi pri tem izvajal nobeno zlonamerno dejavnost. To vedenje deluje kot sekundarna vaba, namenjena zavajanju analitikov med ročnim pregledom.

Dejanska zlonamerna funkcionalnost se sproži le pod določenimi pogoji. Izvedljivo datoteko je treba zagnati z določenim parametrom (-v), ki je bil podan med verigo okužbe, in potrditi mora, da se izvaja na dejanski končni točki in ne v analitičnem okolju.

Zaščita pred analizo in operativne zmogljivosti

Preden zlonamerna programska oprema aktivira svoje zmožnosti zalednega dostopa, preveri, ali se izvajajo varnostna ali forenzična orodja za spremljanje. Izvajanje se ustavi, če so zaznane aplikacije, kot so Wireshark, Procmon, Ollydbg ali Fiddler, kar dodatno otežuje analizo.

Ko je aktivirana, zadnja vrata MeowMeow napadalcem ponujajo več možnosti:

  • Oddaljeno izvajanje ukazov PowerShell na ogroženem gostitelju
  • Manipulacija datotečnega sistema, vključno z branjem, pisanjem in brisanjem datotek

Te funkcije napadalcem omogočajo izvajanje nadaljnjih operacij, kot so zbiranje podatkov, lateralno premikanje ali nadaljnja namestitev koristnega tovora.

Ruski jezikovni artefakti v kodi zlonamerne programske opreme

Med preiskavo so raziskovalci v izvorno kodo zlonamerne programske opreme odkrili nize v ruskem jeziku, kar je okrepilo pripis rusko govorečemu akterju grožnje.

Prisotnost teh artefaktov lahko kaže na eno od dveh možnosti. Napadalci so morda storili varnostno napako, ker niso lokalizirali kode za ukrajinsko okolje. Lahko pa nizi predstavljajo razvojne artefakte, ki so bili nenamerno pozabljeni med postopkom ustvarjanja zlonamerne programske opreme.

Ne glede na vzrok ti jezikovni kazalniki prispevajo k širši oceni pripisovanja, ki kampanjo povezuje z ruskimi kibernetskimi operacijami.

V trendu

Najbolj gledan

Nalaganje...