МјауМјау задња врата
Истраживачи сајбер безбедности открили су раније недокументовану породицу злонамерног софтвера под називом MeowMeow, која је примењена у сајбер кампањи усмереној на украјинске организације. Операција демонстрира структурирани ланац инфекције и коришћење слојевитих техника обмане за компромитовање система и одржавање њихове постојаности.
На основу вишеструких индикатора, кампања је са умереним поверењем приписана руском државном актеру претње APT28. Ова процена се заснива на обрасцима циљања кампање, геополитичким темама уграђеним у мамце и техничким сличностима са ранијим руским сајбер операцијама.
Преглед садржаја
Улазна тачка фишинга и почетни механизам праћења
Напад почиње пажљиво осмишљеним фишинг имејлом који је дизајниран да делује веродостојно. Порука је послата са адресе повезане са ukr.net, тактика која је вероватно намењена повећању поверења међу украјинским примаоцима.
У имејлу се налази линк који тврди да води до ZIP архиве. Када жртва кликне на линк, прегледач не преузима одмах датотеку. Уместо тога, учитава изузетно малу слику која функционише као пиксел за праћење, сигнализирајући нападачима да је линк отворен. Након овог корака потврде, жртва се преусмерава на други URL где се коначно преузима злонамерна ZIP архива.
Обмана путем лажног владиног документа
Када се архива распакује, ланац инфекције покреће HTML апликацију (HTA) датотеку. HTA истовремено обавља две радње:
- Приказује документ мамац написан на украјинском језику који се односи на жалбе за прелазак границе.
- Покреће додатне злонамерне процесе у позадини.
Документ делује као механизам социјалног инжењеринга представљајући оно што изгледа као потврда о пријему владине жалбе у вези са процедурама преласка границе. Ова пажљиво осмишљена нарација појачава илузију легитимитета док злонамерне активности настављају неприметно.
Избегавање песковитих оквира и валидација система
Пре него што настави са процесом инфекције, злонамерни софтвер врши провере како би утврдио да ли се покреће у контролисаном окружењу за анализу.
HTA упитује кључ регистра Windows-а HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate како би проценио колико дуго је оперативни систем инсталиран. Ако је систем старији од десет дана, што је уобичајена карактеристика sandbox окружења, злонамерни софтвер прекида извршавање. Овај корак помаже нападачима да избегну откривање од стране аутоматизованих система за анализу злонамерног софтвера.
Механизми за распоређивање и истрајност корисног терета
Ако систем прође провере окружења, злонамерни софтвер наставља са издвајањем додатних компоненти из преузете ZIP архиве. Преузимају се две датотеке: VBScript датотека и PNG слика која садржи скривени код. Ове датотеке се записују на диск под новим именима датотека.
Упорност се постиже креирањем заказаног задатка који аутоматски извршава VBScript. Примарна сврха скрипте је да издвоји злонамерни код скривен у PNG датотеци. Овај уграђени корисни терет је обфусцирани .NET учитавач познат као BadPaw, који затим покреће комуникацију са удаљеним командним сервером.
BadPaw Loader и MeowMeow задња врата
Програм за учитавање BadPaw служи као посредничка компонента одговорна за преузимање додатних модула злонамерног софтвера. Његов главни циљ је преузимање и инсталирање извршног програма са задњим вратима под називом MeowMeow.
Апликација MeowMeow укључује необичну функцију одвлачења пажње у свом графичком интерфејсу. Када се кликне на видљиво дугме „MeowMeow“, програм једноставно приказује поруку која гласи „Meow Meow Meow Meow“, не изводећи никакву злонамерну активност. Ово понашање делује као секундарни мамац намењен да обмане аналитичаре током ручне инспекције.
Стварна злонамерна функционалност се покреће само под одређеним условима. Извршна датотека мора бити покренута са одређеним параметром (-v) који је наведен током ланца инфекције и мора потврдити да се покреће на стварној крајњој тачки, а не у окружењу за анализу.
Анти-аналитичка заштита и оперативне могућности
Пре него што активира своје могућности „задњег улаза“, злонамерни софтвер проверава да ли су покренути алати за безбедност или форензичко праћење. Извршавање се зауставља ако се открију апликације као што су Wireshark, Procmon, Ollydbg или Fiddler, што додатно компликује анализу.
Једном активиран, MeowMeow бекдор пружа нападачима неколико могућности:
- Даљинско извршавање PowerShell команди на компромитованом хосту
- Манипулација фајл системом, укључујући читање, писање и брисање датотека
Ове функције омогућавају нападачима да обављају накнадне операције као што су прикупљање података, бочно кретање или даље распоређивање корисног терета.
Артефакти на руском језику у коду злонамерног софтвера
Током истраге, истраживачи су открили стрингове на руском језику уграђене у изворни код злонамерног софтвера, што је појачало приписивање претње рускоговорећем актеру.
Присуство ових артефаката може указивати на једну од две могућности. Нападачи су можда направили пропуст у оперативној безбедности тиме што нису локализовали код за украјинско окружење. Алтернативно, стрингови могу представљати развојне артефакте ненамерно остављене током процеса креирања злонамерног софтвера.
Без обзира на узрок, ови лингвистички индикатори доприносе широј процени приписивања која повезује кампању са руским сајбер операцијама.
