Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Dyer të pasme MeowMeow Backdoor

MeowMeow Backdoor

Nga MezoDyer të pasme, Kërcënimi i avancuar i vazhdueshëm (APT)
Përkthe në:

Studiuesit e sigurisë kibernetike kanë zbuluar një familje programesh keqdashëse të padokumentuara më parë të quajtur MeowMeow, të vendosur në një fushatë kibernetike që synonte organizatat ukrainase. Operacioni demonstron një zinxhir të strukturuar infeksioni dhe përdorimin e teknikave të mashtrimit të shtresuar për të kompromentuar sistemet dhe për të ruajtur qëndrueshmërinë.

Bazuar në tregues të shumtë, fushata i është atribuar me besim të moderuar aktorit kërcënues rus të sponsorizuar nga shteti APT28. Ky vlerësim mbështetet në modelet e shënjestrimit të fushatës, temat gjeopolitike të përfshira në karrem dhe ngjashmëritë teknike me operacionet e mëparshme kibernetike ruse.

Pika e Hyrjes së Phishing-ut dhe Mekanizmi Fillestar i Gjurmimit

Sekuenca e sulmit fillon me një email phishing të hartuar me kujdes, i projektuar për t'u dukur i besueshëm. Mesazhi dërgohet nga një adresë e lidhur me ukr.net, një taktikë që ka të ngjarë të ketë për qëllim rritjen e besimit midis marrësve ukrainas.

Brenda emailit ndodhet një lidhje që pretendon të çojë në një arkiv ZIP. Kur viktima klikon lidhjen, shfletuesi nuk e shkarkon menjëherë skedarin. Në vend të kësaj, ai ngarkon një imazh jashtëzakonisht të vogël që funksionon si një piksel gjurmues, duke u sinjalizuar sulmuesve se lidhja është hapur. Pas këtij hapi konfirmimi, viktima ridrejtohet në një URL tjetër ku shkarkohet përfundimisht arkivi ZIP i dëmshëm.

Mashtrim nëpërmjet një dokumenti qeveritar me karrem

Pasi arkivi të nxirret, zinxhiri i infeksionit lëshon një skedar Aplikacioni HTML (HTA). HTA kryen njëkohësisht dy veprime:

  • Shfaq një dokument karrem të shkruar në gjuhën ukrainase në lidhje me apelet për kalimin e kufirit.
  • Nis procese të tjera dashakeqe në sfond.

Dokumenti vepron si një mekanizëm inxhinierie sociale duke paraqitur atë që duket të jetë një konfirmim i marrjes për një apel qeveritar në lidhje me procedurat e kalimit të kufirit. Ky rrëfim i hartuar me kujdes përforcon iluzionin e legjitimitetit ndërsa aktiviteti keqdashës vazhdon pa u vënë re.

Shmangia e Sandbox dhe Validimi i Sistemit

Përpara se të vazhdojë me procesin e infektimit, programi keqdashës kryen kontrolle për të përcaktuar nëse po funksionon në një mjedis analize të kontrolluar.

HTA pyet çelësin e Regjistrit të Windows HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate për të vlerësuar se sa kohë është instaluar sistemi operativ. Nëse sistemi është më pak se dhjetë ditë i vjetër, një karakteristikë e zakonshme e mjediseve sandbox, programi keqdashës ndërpret ekzekutimin. Ky hap i ndihmon sulmuesit të shmangin zbulimin nga sistemet e automatizuara të analizës së programeve keqdashëse.

Mekanizmat e Vendosjes së Ngarkesës dhe Qëndrueshmërisë

Nëse sistemi kalon kontrollet e mjedisit, programi keqdashës vazhdon të nxjerrë komponentë shtesë nga arkivi ZIP i shkarkuar. Merren dy skedarë: një skedar VBScript dhe një imazh PNG që përmban kod të fshehur. Këta skedarë shkruhen në disk me emra të rinj skedarësh.

Qëndrueshmëria arrihet duke krijuar një detyrë të planifikuar që ekzekuton automatikisht VBScript-in. Qëllimi kryesor i skriptit është të nxjerrë kodin keqdashës të fshehur brenda skedarit PNG. Kjo ngarkesë e integruar është një ngarkues .NET i errët i njohur si BadPaw, i cili më pas fillon komunikimin me një server komande dhe kontrolli në distancë.

BadPaw Loader dhe MeowMeow Backdoor

Ngarkuesi BadPaw shërben si komponent ndërmjetës përgjegjës për shkarkimin e moduleve shtesë të programeve keqdashëse. Objektivi i tij kryesor është të rikuperojë dhe të vendosë një skedar ekzekutues të prapavijës të quajtur MeowMeow.

Aplikacioni MeowMeow përfshin një funksion të pazakontë shpërqendrimi brenda ndërfaqes së tij grafike. Kur klikohet butoni i dukshëm 'MeowMeow', programi thjesht shfaq një mesazh që lexon 'Meow Meow Meow', duke mos kryer asnjë aktivitet dashakeq. Ky sjellje vepron si një karrem dytësor që synon të mashtrojë analistët gjatë inspektimit manual.

Funksionaliteti real keqdashës aktivizohet vetëm në kushte specifike. Skedari ekzekutues duhet të nisë me një parametër të caktuar (-v) të dhënë gjatë zinxhirit të infeksionit dhe duhet të konfirmojë që po funksionon në një pikë fundore reale dhe jo në një mjedis analize.

Mbrojtje kundër analizës dhe aftësi operacionale

Përpara se të aktivizojë aftësitë e tij të "backdoor", programi keqdashës kontrollon nëse mjetet e sigurisë ose të monitorimit forenzik janë duke u ekzekutuar. Ekzekutimi ndalet nëse zbulohen aplikacione të tilla si Wireshark, Procmon, Ollydbg ose Fiddler, duke i komplikuar më tej përpjekjet e analizës.

Pasi aktivizohet, dera e pasme MeowMeow u ofron sulmuesve disa aftësi:

  • Ekzekutimi në distancë i komandave PowerShell në hostin e kompromentuar
  • Manipulimi i sistemit të skedarëve, duke përfshirë leximin, shkrimin dhe fshirjen e skedarëve

Këto funksione u lejojnë sulmuesve të kryejnë operacione pasuese, të tilla si mbledhja e të dhënave, lëvizja anësore ose vendosja e mëtejshme e ngarkesës.

Artefakte të Gjuhës Ruse në Kodin e Malware-it

Gjatë hetimit të tyre, studiuesit zbuluan vargje në gjuhën ruse të integruara brenda kodit burimor të malware-it, duke forcuar atribuimin ndaj një aktori kërcënimi që flet rusisht.

Prania e këtyre objekteve mund të tregojë njërën nga dy mundësitë. Sulmuesit mund të kenë kryer një mbikëqyrje të sigurisë operative duke mos arritur të lokalizojnë kodin për mjedisin ukrainas. Nga ana tjetër, vargjet mund të përfaqësojnë objekte zhvillimi të lëna pa dashje gjatë procesit të krijimit të malware-it.

Pavarësisht shkakut, këta tregues gjuhësorë kontribuojnë në vlerësimin më të gjerë të atribuimit që lidh fushatën me operacionet kibernetike ruse.

Në trend

Më e shikuara

Po ngarkohet...