MeowMeow Backdoor

சைபர் பாதுகாப்பு ஆராய்ச்சியாளர்கள், உக்ரேனிய நிறுவனங்களை இலக்காகக் கொண்ட சைபர் பிரச்சாரத்தில் பயன்படுத்தப்பட்ட மியாவ்மியாவ் என்ற முன்னர் ஆவணப்படுத்தப்படாத தீம்பொருள் குடும்பத்தைக் கண்டுபிடித்துள்ளனர். இந்த செயல்பாடு ஒரு கட்டமைக்கப்பட்ட தொற்று சங்கிலியையும், அமைப்புகளை சமரசம் செய்து நிலைத்தன்மையைப் பராமரிக்க அடுக்கு ஏமாற்று நுட்பங்களைப் பயன்படுத்துவதையும் நிரூபிக்கிறது.

பல குறிகாட்டிகளின் அடிப்படையில், இந்த பிரச்சாரம் ரஷ்ய அரசால் ஆதரிக்கப்படும் அச்சுறுத்தல் காரணியான APT28 மீது மிதமான நம்பிக்கையுடன் கூறப்பட்டுள்ளது. இந்த மதிப்பீடு பிரச்சாரத்தின் இலக்கு முறைகள், கவர்ச்சிகளில் பதிக்கப்பட்ட புவிசார் அரசியல் கருப்பொருள்கள் மற்றும் முந்தைய ரஷ்ய சைபர் நடவடிக்கைகளுடன் தொழில்நுட்ப ஒற்றுமைகள் ஆகியவற்றைச் சார்ந்துள்ளது.

ஃபிஷிங் நுழைவுப் புள்ளி மற்றும் ஆரம்ப கண்காணிப்பு வழிமுறை

இந்தத் தாக்குதல் வரிசை நம்பகமானதாகக் காட்ட வடிவமைக்கப்பட்ட கவனமாக வடிவமைக்கப்பட்ட ஃபிஷிங் மின்னஞ்சலுடன் தொடங்குகிறது. இந்தச் செய்தி ukr.net உடன் தொடர்புடைய முகவரியிலிருந்து அனுப்பப்படுகிறது, இது உக்ரேனிய பெறுநர்களிடையே நம்பிக்கையை அதிகரிக்கும் நோக்கில் ஒரு தந்திரமாக இருக்கலாம்.

மின்னஞ்சலுக்குள் ஒரு ZIP காப்பகத்திற்கு வழிவகுக்கும் ஒரு இணைப்பு உள்ளது. பாதிக்கப்பட்டவர் இணைப்பைக் கிளிக் செய்யும்போது, உலாவி உடனடியாக கோப்பைப் பதிவிறக்காது. அதற்கு பதிலாக, அது கண்காணிப்பு பிக்சலாகச் செயல்படும் மிகச் சிறிய படத்தை ஏற்றுகிறது, இது இணைப்பு திறக்கப்பட்டுள்ளதாக தாக்குபவர்களுக்கு சமிக்ஞை செய்கிறது. இந்த உறுதிப்படுத்தல் படிக்குப் பிறகு, பாதிக்கப்பட்டவர் மற்றொரு URL க்கு திருப்பி விடப்படுவார், அங்கு தீங்கிழைக்கும் ZIP காப்பகம் இறுதியாக பதிவிறக்கம் செய்யப்படும்.

ஒரு போலி அரசாங்க ஆவணத்தின் மூலம் ஏமாற்றுதல்

காப்பகம் பிரித்தெடுக்கப்பட்டவுடன், தொற்று சங்கிலி ஒரு HTML பயன்பாட்டு (HTA) கோப்பைத் தொடங்குகிறது. HTA ஒரே நேரத்தில் இரண்டு செயல்களைச் செய்கிறது:

• எல்லை தாண்டும் முறையீடுகள் தொடர்பான உக்ரேனிய மொழியில் எழுதப்பட்ட கவர்ச்சி ஆவணத்தைக் காட்டுகிறது.
• பின்னணியில் கூடுதல் தீங்கிழைக்கும் செயல்முறைகளைத் தொடங்குகிறது.

எல்லை தாண்டுதல் நடைமுறைகள் தொடர்பான அரசாங்க மேல்முறையீட்டிற்கான ரசீது உறுதிப்படுத்தப்படுவதை முன்வைப்பதன் மூலம் இந்த ஆவணம் ஒரு சமூக பொறியியல் பொறிமுறையாக செயல்படுகிறது. கவனமாக வடிவமைக்கப்பட்ட இந்த விவரிப்பு, தீங்கிழைக்கும் செயல்பாடு தொடர்ந்து காணப்படாமல் இருக்கும்போது, சட்டபூர்வமான தன்மையின் மாயையை வலுப்படுத்துகிறது.

சாண்ட்பாக்ஸ் ஏய்ப்பு மற்றும் கணினி சரிபார்ப்பு

தொற்று செயல்முறையைத் தொடர்வதற்கு முன், தீம்பொருள் கட்டுப்படுத்தப்பட்ட பகுப்பாய்வு சூழலில் இயங்குகிறதா என்பதைத் தீர்மானிக்க சோதனைகளைச் செய்கிறது.

இயக்க முறைமை எவ்வளவு காலம் நிறுவப்பட்டிருக்கிறது என்பதை மதிப்பிட, HTA, Windows Registry விசையான HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate ஐ வினவுகிறது. சாண்ட்பாக்ஸ் சூழல்களின் பொதுவான பண்பான, கணினி பத்து நாட்களுக்கும் குறைவாக இருந்தால், தீம்பொருள் செயல்பாட்டை நிறுத்துகிறது. தானியங்கி தீம்பொருள் பகுப்பாய்வு அமைப்புகள் மூலம் கண்டறிதலைத் தாக்குபவர்களுக்கு இந்தப் படி உதவுகிறது.

சுமை வரிசைப்படுத்தல் மற்றும் நிலைத்தன்மை வழிமுறைகள்

கணினி சூழல் சோதனைகளில் தேர்ச்சி பெற்றால், பதிவிறக்கம் செய்யப்பட்ட ZIP காப்பகத்திலிருந்து கூடுதல் கூறுகளைப் பிரித்தெடுக்க தீம்பொருள் தொடர்கிறது. இரண்டு கோப்புகள் மீட்டெடுக்கப்படுகின்றன: ஒரு VBScript கோப்பு மற்றும் மறைக்கப்பட்ட குறியீட்டைக் கொண்ட PNG படம். இந்தக் கோப்புகள் புதிய கோப்புப் பெயர்களின் கீழ் வட்டில் எழுதப்படும்.

VBScript-ஐ தானாக இயக்கும் ஒரு திட்டமிடப்பட்ட பணியை உருவாக்குவதன் மூலம் நிலைத்தன்மை அடையப்படுகிறது. PNG கோப்பிற்குள் மறைந்திருக்கும் தீங்கிழைக்கும் குறியீட்டைப் பிரித்தெடுப்பதே ஸ்கிரிப்ட்டின் முதன்மை நோக்கமாகும். இந்த உட்பொதிக்கப்பட்ட பேலோடு என்பது BadPaw எனப்படும் ஒரு தெளிவற்ற .NET ஏற்றியாகும், இது பின்னர் தொலை கட்டளை மற்றும் கட்டுப்பாட்டு சேவையகத்துடன் தொடர்பைத் தொடங்குகிறது.

பேட்பா லோடர் மற்றும் மியாவ்மியாவ் பின்னணி கதவு

கூடுதல் தீம்பொருள் தொகுதிகளைப் பதிவிறக்குவதற்குப் பொறுப்பான இடைநிலைக் கூறாக BadPaw ஏற்றி செயல்படுகிறது. இதன் முக்கிய நோக்கம் MeowMeow என்ற பின்கதவு இயங்கக்கூடிய மென்பொருளை மீட்டெடுத்து பயன்படுத்துவதாகும்.

மியாவ்மியாவ் பயன்பாடு அதன் வரைகலை இடைமுகத்திற்குள் ஒரு அசாதாரண கவனச்சிதறல் அம்சத்தைக் கொண்டுள்ளது. காணக்கூடிய 'மியாவ்மியாவ்' பொத்தானைக் கிளிக் செய்யும்போது, நிரல் 'மியாவ் மியாவ் மியாவ்' என்ற செய்தியைக் காண்பிக்கும், எந்த தீங்கிழைக்கும் செயலையும் செய்யாது. இந்த நடத்தை கையேடு ஆய்வின் போது ஆய்வாளர்களைத் தவறாக வழிநடத்தும் நோக்கில் இரண்டாம் நிலை ஏமாற்று வேலையாக செயல்படுகிறது.

உண்மையான தீங்கிழைக்கும் செயல்பாடு குறிப்பிட்ட நிபந்தனைகளின் கீழ் மட்டுமே தூண்டப்படுகிறது. தொற்று சங்கிலியின் போது வழங்கப்பட்ட ஒரு குறிப்பிட்ட அளவுரு (-v) உடன் செயல்படுத்தக்கூடியது தொடங்கப்பட வேண்டும், மேலும் அது ஒரு பகுப்பாய்வு சூழலில் அல்லாமல் உண்மையான இறுதிப் புள்ளியில் இயங்குகிறது என்பதை உறுதிப்படுத்த வேண்டும்.

பகுப்பாய்வு எதிர்ப்பு பாதுகாப்புகள் மற்றும் செயல்பாட்டு திறன்கள்

அதன் பின்புறத் திறன்களைச் செயல்படுத்துவதற்கு முன், தீம்பொருள் பாதுகாப்பு அல்லது தடயவியல் கண்காணிப்பு கருவிகள் இயங்குகின்றனவா என்பதைச் சரிபார்க்கிறது. Wireshark, Procmon, Ollydbg அல்லது Fiddler போன்ற பயன்பாடுகள் கண்டறியப்பட்டால் செயல்படுத்தல் நிறுத்தப்படும், இது பகுப்பாய்வு முயற்சிகளை மேலும் சிக்கலாக்குகிறது.

செயல்படுத்தப்பட்டவுடன், மியாவ்மியாவ் பின்புறக் கதவு தாக்குபவர்களுக்கு பல திறன்களை வழங்குகிறது:

• சமரசம் செய்யப்பட்ட ஹோஸ்டில் பவர்ஷெல் கட்டளைகளை தொலைவிலிருந்து செயல்படுத்துதல்.
• கோப்புகளைப் படித்தல், எழுதுதல் மற்றும் நீக்குதல் உள்ளிட்ட கோப்பு முறைமை கையாளுதல்.

இந்த செயல்பாடுகள் தாக்குபவர்கள் தரவு சேகரிப்பு, பக்கவாட்டு இயக்கம் அல்லது மேலும் பேலோட் வரிசைப்படுத்தல் போன்ற தொடர்ச்சியான செயல்பாடுகளைச் செய்ய அனுமதிக்கின்றன.

மால்வேர் குறியீட்டில் ரஷ்ய மொழி கலைப்பொருட்கள்

ஆராய்ச்சியாளர்கள் தங்கள் விசாரணையின் போது, தீம்பொருள் மூலக் குறியீட்டில் உட்பொதிக்கப்பட்ட ரஷ்ய மொழி சரங்களைக் கண்டுபிடித்தனர், இது ரஷ்ய மொழி பேசும் அச்சுறுத்தல் நடிகருக்கான பண்புக்கூறை வலுப்படுத்துகிறது.

இந்த கலைப்பொருட்கள் இருப்பது இரண்டு சாத்தியக்கூறுகளில் ஒன்றைக் குறிக்கலாம். உக்ரேனிய சூழலுக்கான குறியீட்டை உள்ளூர்மயமாக்கத் தவறியதன் மூலம் தாக்குபவர்கள் செயல்பாட்டு பாதுகாப்பு மேற்பார்வையைச் செய்திருக்கலாம். மாற்றாக, தீம்பொருளை உருவாக்கும் செயல்பாட்டின் போது தற்செயலாக விடப்பட்ட மேம்பாட்டு கலைப்பொருட்களை சரங்கள் குறிக்கலாம்.

காரணம் எதுவாக இருந்தாலும், இந்த மொழியியல் குறிகாட்டிகள் பிரச்சாரத்தை ரஷ்ய சைபர் செயல்பாடுகளுடன் இணைக்கும் பரந்த பண்புக்கூறு மதிப்பீட்டிற்கு பங்களிக்கின்றன.