MeowMeow Backdoor

సైబర్ భద్రతా పరిశోధకులు గతంలో నమోదుకాని మియావ్‌మియావ్ అనే మాల్వేర్ కుటుంబాన్ని కనుగొన్నారు, ఇది ఉక్రేనియన్ సంస్థలను లక్ష్యంగా చేసుకుని సైబర్ ప్రచారంలో మోహరించబడింది. ఈ ఆపరేషన్ నిర్మాణాత్మక ఇన్ఫెక్షన్ గొలుసును మరియు వ్యవస్థలను రాజీ చేయడానికి మరియు నిలకడను కొనసాగించడానికి లేయర్డ్ మోసపూరిత పద్ధతుల వినియోగాన్ని ప్రదర్శిస్తుంది.

బహుళ సూచికల ఆధారంగా, ఈ ప్రచారాన్ని రష్యన్ రాష్ట్రం-ప్రాయోజిత ముప్పు కారకం APT28 కి మితమైన విశ్వాసంతో ఆపాదించారు. ఈ అంచనా ప్రచారం యొక్క లక్ష్య నమూనాలు, ఎరలలో పొందుపరచబడిన భౌగోళిక రాజకీయ ఇతివృత్తాలు మరియు మునుపటి రష్యన్ సైబర్ కార్యకలాపాలకు సాంకేతిక సారూప్యతలపై ఆధారపడి ఉంటుంది.

ఫిషింగ్ ఎంట్రీ పాయింట్ మరియు ఇనీషియల్ ట్రాకింగ్ మెకానిజం

ఈ దాడి క్రమం విశ్వసనీయమైనదిగా కనిపించేలా జాగ్రత్తగా రూపొందించిన ఫిషింగ్ ఇమెయిల్‌తో ప్రారంభమవుతుంది. ఈ సందేశం ukr.netతో అనుబంధించబడిన చిరునామా నుండి పంపబడింది, ఇది ఉక్రేనియన్ గ్రహీతలలో నమ్మకాన్ని పెంచడానికి ఉద్దేశించిన వ్యూహం కావచ్చు.

ఇమెయిల్ లోపల జిప్ ఆర్కైవ్‌కు దారితీస్తుందని క్లెయిమ్ చేసే లింక్ ఉంది. బాధితుడు లింక్‌ను క్లిక్ చేసినప్పుడు, బ్రౌజర్ వెంటనే ఫైల్‌ను డౌన్‌లోడ్ చేయదు. బదులుగా, ఇది ట్రాకింగ్ పిక్సెల్‌గా పనిచేసే చాలా చిన్న చిత్రాన్ని లోడ్ చేస్తుంది, లింక్ తెరవబడిందని దాడి చేసేవారికి సంకేతం ఇస్తుంది. ఈ నిర్ధారణ దశ తర్వాత, బాధితుడు మరొక URLకి దారి మళ్లించబడతాడు, అక్కడ హానికరమైన జిప్ ఆర్కైవ్ చివరకు డౌన్‌లోడ్ చేయబడుతుంది.

మోసపూరిత ప్రభుత్వ పత్రం ద్వారా మోసం

ఆర్కైవ్‌ను సంగ్రహించిన తర్వాత, ఇన్ఫెక్షన్ చైన్ ఒక HTML అప్లికేషన్ (HTA) ఫైల్‌ను ప్రారంభిస్తుంది. HTA ఏకకాలంలో రెండు చర్యలను చేస్తుంది:

• సరిహద్దు దాటే అప్పీళ్లకు సంబంధించి ఉక్రేనియన్‌లో వ్రాయబడిన ఎర పత్రాన్ని ప్రదర్శిస్తుంది.
• నేపథ్యంలో అదనపు హానికరమైన ప్రక్రియలను ప్రారంభిస్తుంది.

సరిహద్దు దాటే విధానాలకు సంబంధించిన ప్రభుత్వ అప్పీల్‌కు రసీదు నిర్ధారణగా కనిపించే దానిని ప్రదర్శించడం ద్వారా ఈ పత్రం సామాజిక ఇంజనీరింగ్ యంత్రాంగంగా పనిచేస్తుంది. జాగ్రత్తగా రూపొందించిన ఈ కథనం చట్టబద్ధత యొక్క భ్రమను బలోపేతం చేస్తుంది, అయితే దుర్మార్గపు కార్యకలాపాలు కనిపించకుండా కొనసాగుతున్నాయి.

శాండ్‌బాక్స్ ఎగవేత మరియు సిస్టమ్ ధ్రువీకరణ

ఇన్ఫెక్షన్ ప్రక్రియను కొనసాగించే ముందు, మాల్వేర్ నియంత్రిత విశ్లేషణ వాతావరణంలో నడుస్తుందో లేదో తెలుసుకోవడానికి తనిఖీలను నిర్వహిస్తుంది.

ఆపరేటింగ్ సిస్టమ్ ఎంతకాలం ఇన్‌స్టాల్ చేయబడిందో అంచనా వేయడానికి HTA Windows రిజిస్ట్రీ కీ HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate ని ప్రశ్నిస్తుంది. సిస్టమ్ పది రోజుల కంటే తక్కువ పాతది అయితే, ఇది శాండ్‌బాక్స్ పరిసరాల యొక్క సాధారణ లక్షణం, మాల్వేర్ అమలును ముగించింది. ఈ దశ దాడి చేసేవారికి ఆటోమేటెడ్ మాల్వేర్ విశ్లేషణ వ్యవస్థల ద్వారా గుర్తింపును నివారించడానికి సహాయపడుతుంది.

పేలోడ్ విస్తరణ మరియు స్థిరత్వ విధానాలు

సిస్టమ్ ఎన్విరాన్మెంట్ తనిఖీలలో ఉత్తీర్ణత సాధిస్తే, మాల్వేర్ డౌన్‌లోడ్ చేయబడిన జిప్ ఆర్కైవ్ నుండి అదనపు భాగాలను సంగ్రహించడానికి ముందుకు సాగుతుంది. రెండు ఫైళ్లు తిరిగి పొందబడతాయి: VBScript ఫైల్ మరియు దాచిన కోడ్‌ను కలిగి ఉన్న PNG చిత్రం. ఈ ఫైళ్లు కొత్త ఫైల్ పేర్లతో డిస్క్‌కు వ్రాయబడతాయి.

VBScriptను స్వయంచాలకంగా అమలు చేసే షెడ్యూల్ చేయబడిన పనిని సృష్టించడం ద్వారా నిలకడ సాధించబడుతుంది. PNG ఫైల్‌లో దాగి ఉన్న హానికరమైన కోడ్‌ను సంగ్రహించడం స్క్రిప్ట్ యొక్క ప్రాథమిక ఉద్దేశ్యం. ఈ ఎంబెడెడ్ పేలోడ్ అనేది BadPaw అని పిలువబడే అస్పష్టమైన .NET లోడర్, ఇది రిమోట్ కమాండ్-అండ్-కంట్రోల్ సర్వర్‌తో కమ్యూనికేషన్‌ను ప్రారంభిస్తుంది.

బాడ్‌పా లోడర్ మరియు మియావ్‌మియావ్ బ్యాక్‌డోర్

అదనపు మాల్వేర్ మాడ్యూళ్ళను డౌన్‌లోడ్ చేయడానికి బాడ్‌పా లోడర్ మధ్యవర్తిగా పనిచేస్తుంది. దీని ప్రధాన లక్ష్యం మియావ్‌మియావ్ అనే బ్యాక్‌డోర్ ఎక్జిక్యూటబుల్‌ను తిరిగి పొందడం మరియు అమలు చేయడం.

మియావ్‌మియావ్ అప్లికేషన్ దాని గ్రాఫికల్ ఇంటర్‌ఫేస్‌లో అసాధారణమైన డిస్ట్రాక్షన్ ఫీచర్‌ను కలిగి ఉంది. కనిపించే 'మియావ్‌మియావ్' బటన్‌ను క్లిక్ చేసినప్పుడు, ప్రోగ్రామ్ 'మియావ్ మియావ్ మియావ్' అనే సందేశాన్ని ప్రదర్శిస్తుంది, ఎటువంటి హానికరమైన కార్యకలాపాలను చేయదు. ఈ ప్రవర్తన మాన్యువల్ తనిఖీ సమయంలో విశ్లేషకులను తప్పుదారి పట్టించడానికి ఉద్దేశించిన ద్వితీయ మోసగాడిగా పనిచేస్తుంది.

వాస్తవ హానికరమైన కార్యాచరణ నిర్దిష్ట పరిస్థితులలో మాత్రమే ప్రేరేపించబడుతుంది. ఎక్జిక్యూటబుల్ ఇన్ఫెక్షన్ గొలుసు సమయంలో అందించబడిన నిర్దిష్ట పరామితి (-v)తో ప్రారంభించబడాలి మరియు అది విశ్లేషణ వాతావరణంలో కాకుండా నిజమైన ఎండ్‌పాయింట్‌లో నడుస్తుందని నిర్ధారించాలి.

విశ్లేషణ వ్యతిరేక రక్షణలు మరియు కార్యాచరణ సామర్థ్యాలు

దాని బ్యాక్‌డోర్ సామర్థ్యాలను యాక్టివేట్ చేసే ముందు, మాల్వేర్ భద్రత లేదా ఫోరెన్సిక్ పర్యవేక్షణ సాధనాలు నడుస్తున్నాయో లేదో తనిఖీ చేస్తుంది. Wireshark, Procmon, Ollydbg లేదా Fiddler వంటి అప్లికేషన్‌లు గుర్తించబడితే అమలు నిలిపివేయబడుతుంది, ఇది విశ్లేషణ ప్రయత్నాలను మరింత క్లిష్టతరం చేస్తుంది.

ఒకసారి యాక్టివేట్ అయిన తర్వాత, మియావ్‌మియావ్ బ్యాక్‌డోర్ దాడి చేసేవారికి అనేక సామర్థ్యాలను అందిస్తుంది:

• రాజీపడిన హోస్ట్‌లో పవర్‌షెల్ ఆదేశాల రిమోట్ అమలు
• ఫైల్ సిస్టమ్ మానిప్యులేషన్, ఫైల్‌లను చదవడం, రాయడం మరియు తొలగించడం వంటివి

ఈ విధులు దాడి చేసేవారికి డేటా సేకరణ, పార్శ్వ కదలిక లేదా మరింత పేలోడ్ విస్తరణ వంటి ఫాలో-ఆన్ కార్యకలాపాలను నిర్వహించడానికి అనుమతిస్తాయి.

మాల్వేర్ కోడ్‌లో రష్యన్-భాషా కళాఖండాలు

వారి పరిశోధనలో, పరిశోధకులు మాల్వేర్ సోర్స్ కోడ్‌లో పొందుపరిచిన రష్యన్ భాషా స్ట్రింగ్‌లను కనుగొన్నారు, ఇది రష్యన్ మాట్లాడే బెదిరింపు కారకుడి ఆపాదింపును బలపరుస్తుంది.

ఈ కళాఖండాల ఉనికి రెండు అవకాశాలలో ఒకదాన్ని సూచిస్తుంది. దాడి చేసేవారు ఉక్రేనియన్ పర్యావరణం కోసం కోడ్‌ను స్థానికీకరించడంలో విఫలమవడం ద్వారా కార్యాచరణ భద్రతా పర్యవేక్షణకు పాల్పడి ఉండవచ్చు. ప్రత్యామ్నాయంగా, మాల్వేర్ సృష్టి ప్రక్రియలో అనుకోకుండా వదిలివేయబడిన అభివృద్ధి కళాఖండాలను స్ట్రింగ్‌లు సూచించవచ్చు.

కారణం ఏదైనా, ఈ భాషా సూచికలు ప్రచారాన్ని రష్యన్ సైబర్ కార్యకలాపాలకు అనుసంధానించే విస్తృత ఆపాదింపు అంచనాకు దోహదం చేస్తాయి.