Rabattoffert för flera licenser
Hotdatabas Bakdörrar MjauMjau Bakdörr

MjauMjau Bakdörr

Med Mezo år Bakdörrar, Advanced Persistent Threat (APT)
Översätt till:

Cybersäkerhetsforskare har avslöjat en tidigare odokumenterad familj av skadlig kod vid namn MeowMeow, som användes i en cyberkampanj riktad mot ukrainska organisationer. Operationen visar på en strukturerad infektionskedja och användningen av flera lager av bedrägeritekniker för att kompromettera system och upprätthålla deras beständighet.

Baserat på flera indikatorer har kampanjen med måttlig tilltro tillskrivits den ryska statsstödda hotaktören APT28. Denna bedömning bygger på kampanjens målinriktningsmönster, geopolitiska teman inbäddade i lockbetena och tekniska likheter med tidigare ryska cyberoperationer.

Nätfiskeingångspunkt och initial spårningsmekanism

Attacksekvensen börjar med ett noggrant utformat nätfiskemejl som är utformat för att verka trovärdigt. Meddelandet skickas från en adress som är kopplad till ukr.net, en taktik som troligen syftar till att öka förtroendet bland ukrainska mottagare.

I e-postmeddelandet finns en länk som påstås leda till ett ZIP-arkiv. När offret klickar på länken laddar webbläsaren inte ner filen omedelbart. Istället laddar den en extremt liten bild som fungerar som en spårningspixel och signalerar till angriparna att länken har öppnats. Efter detta bekräftelsesteg omdirigeras offret till en annan URL där det skadliga ZIP-arkivet slutligen laddas ner.

Bedrägeri genom ett lockbeteende regeringsdokument

När arkivet har extraherats startar infektionskedjan en HTML-applikationsfil (HTA). HTA:n utför två åtgärder samtidigt:

  • Visar ett dokument med lockbete skrivet på ukrainska relaterat till gränsövergångsöverklaganden.
  • Initierar ytterligare skadliga processer i bakgrunden.

Dokumentet fungerar som en social ingenjörskonst genom att presentera vad som verkar vara en bekräftelse på mottagandet av ett statligt överklagande gällande gränsövergångsförfaranden. Denna noggrant utformade berättelse förstärker illusionen av legitimitet medan illvillig aktivitet fortsätter osynligt.

Sandbox-undvikelse och systemvalidering

Innan infektionsprocessen fortsätter utför skadlig programvara kontroller för att avgöra om den körs i en kontrollerad analysmiljö.

HTA frågar efter Windows-registernyckeln HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate för att uppskatta hur länge operativsystemet har varit installerat. Om systemet är mindre än tio dagar gammalt, vilket är vanligt för sandlådemiljöer, avbryter den skadliga programvaran körningen. Detta steg hjälper angriparna att undvika upptäckt av automatiserade system för analys av skadlig programvara.

Mekanismer för nyttolastdistribution och persistens

Om systemet klarar miljökontrollerna fortsätter den skadliga programvaran att extrahera ytterligare komponenter från det nedladdade ZIP-arkivet. Två filer hämtas: en VBScript-fil och en PNG-bild som innehåller dold kod. Dessa filer skrivs till disken under nya filnamn.

Persistens uppnås genom att skapa en schemalagd uppgift som automatiskt kör VBScript. Skriptets primära syfte är att extrahera skadlig kod som är dold i PNG-filen. Denna inbäddade nyttolast är en obfuskerad .NET-laddare som kallas BadPaw, som sedan initierar kommunikation med en fjärrstyrd kommando- och kontrollserver.

BadPaw Loader och MeowMeow-bakdörren

BadPaw-laddaren fungerar som mellanliggande komponent som ansvarar för att ladda ner ytterligare skadlig kodmoduler. Dess huvudsakliga mål är att hämta och driftsätta en bakdörrskörbar fil med namnet MeowMeow.

MeowMeow-applikationen har en ovanlig distraktionsfunktion i sitt grafiska gränssnitt. När man klickar på den synliga "MeowMeow"-knappen visar programmet helt enkelt meddelandet "Meow Meow Meow", och utför ingen skadlig aktivitet. Detta beteende fungerar som en sekundär lockbete som är avsedd att vilseleda analytiker under manuell inspektion.

Den faktiska skadliga funktionen utlöses endast under specifika villkor. Den körbara filen måste startas med en specifik parameter (-v) som anges under infektionskedjan, och den måste bekräfta att den körs på en verklig slutpunkt snarare än en analysmiljö.

Skydd mot analys och operativa funktioner

Innan den skadliga programvaran aktiverar sina bakdörrsfunktioner kontrollerar den om säkerhets- eller forensiska övervakningsverktyg körs. Körningen stoppas om applikationer som Wireshark, Procmon, Ollydbg eller Fiddler upptäcks, vilket ytterligare komplicerar analysarbetet.

När MeowMeow-bakdörren aktiverats ger den angriparna flera funktioner:

  • Fjärrkörning av PowerShell-kommandon på den komprometterade värden
  • Manipulering av filsystem, inklusive läsning, skrivning och radering av filer

Dessa funktioner gör det möjligt för angripare att utföra uppföljningsoperationer som datainsamling, lateral förflyttning eller ytterligare distribution av nyttolast.

Ryskspråkiga artefakter i skadlig kod

Under sin undersökning upptäckte forskare ryskspråkiga strängar inbäddade i källkoden för skadlig programvara, vilket stärker tillskrivningen till en rysktalande hotaktör.

Förekomsten av dessa artefakter kan tyda på en av två möjligheter. Angriparna kan ha begått ett säkerhetsfel genom att inte lokalisera koden för den ukrainska miljön. Alternativt kan strängarna representera utvecklingsartefakter som oavsiktligt lämnats kvar under skapandet av den skadliga programvaran.

Oavsett orsak bidrar dessa språkliga indikatorer till den bredare attributionsbedömningen som kopplar kampanjen till ryska cyberoperationer.

Trendigt

Mest sedda

Läser in...