MeowMeow Backdoor
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบตระกูลมัลแวร์ที่ไม่เคยมีการบันทึกมาก่อนชื่อ MeowMeow ซึ่งถูกนำมาใช้ในแคมเปญโจมตีทางไซเบอร์ที่มุ่งเป้าไปที่องค์กรในยูเครน การปฏิบัติการนี้แสดงให้เห็นถึงห่วงโซ่การติดเชื้อที่มีโครงสร้างและการใช้เทคนิคการหลอกลวงหลายชั้นเพื่อบุกรุกระบบและรักษาการคงอยู่ของระบบ
จากตัวชี้วัดหลายประการ แคมเปญนี้ถูกระบุว่าเป็นฝีมือของกลุ่มแฮ็กเกอร์ APT28 ที่ได้รับการสนับสนุนจากรัฐบาลรัสเซีย ด้วยความมั่นใจในระดับปานกลาง การประเมินนี้อาศัยรูปแบบการกำหนดเป้าหมายของแคมเปญ ธีมทางภูมิรัฐศาสตร์ที่แฝงอยู่ในเหยื่อล่อ และความคล้ายคลึงทางเทคนิคกับปฏิบัติการไซเบอร์ของรัสเซียในอดีต
สารบัญ
จุดเริ่มต้นของการฟิชชิ่งและกลไกการติดตามเบื้องต้น
ลำดับการโจมตีเริ่มต้นด้วยอีเมลฟิชชิงที่ถูกสร้างขึ้นอย่างพิถีพิถันเพื่อให้ดูน่าเชื่อถือ ข้อความดังกล่าวถูกส่งมาจากที่อยู่ที่มีความเกี่ยวข้องกับ ukr.net ซึ่งเป็นกลยุทธ์ที่น่าจะมีจุดประสงค์เพื่อเพิ่มความไว้วางใจในหมู่ผู้รับชาวยูเครน
ในอีเมลนั้นมีลิงก์ที่อ้างว่าจะนำไปยังไฟล์ ZIP เมื่อเหยื่อคลิกลิงก์นั้น เบราว์เซอร์จะไม่ดาวน์โหลดไฟล์ทันที แต่จะแสดงภาพขนาดเล็กมากซึ่งทำหน้าที่เป็นพิกเซลติดตาม ส่งสัญญาณให้ผู้โจมตีทราบว่าลิงก์นั้นถูกเปิดแล้ว หลังจากขั้นตอนการยืนยันนี้ เหยื่อจะถูกเปลี่ยนเส้นทางไปยัง URL อื่นซึ่งไฟล์ ZIP ที่เป็นอันตรายจะถูกดาวน์โหลดในที่สุด
การหลอกลวงโดยใช้เอกสารราชการปลอม
เมื่อแตกไฟล์เก็บถาวรแล้ว ห่วงโซ่การติดเชื้อจะเรียกใช้ไฟล์แอปพลิเคชัน HTML (HTA) ไฟล์ HTA จะดำเนินการสองอย่างพร้อมกัน:
- แสดงเอกสารล่อลวงที่เขียนเป็นภาษาอูเครน เกี่ยวกับการอุทธรณ์การข้ามพรมแดน
- เริ่มกระบวนการที่เป็นอันตรายเพิ่มเติมในเบื้องหลัง
เอกสารฉบับนี้ทำหน้าที่เป็นกลไกการหลอกลวงทางสังคม โดยนำเสนอสิ่งที่ดูเหมือนจะเป็นการยืนยันการรับเรื่องร้องเรียนจากรัฐบาลเกี่ยวกับการผ่านแดน เรื่องราวที่ถูกสร้างขึ้นอย่างพิถีพิถันนี้ช่วยเสริมสร้างภาพลวงตาของความถูกต้องตามกฎหมาย ในขณะที่กิจกรรมที่เป็นอันตรายยังคงดำเนินต่อไปโดยไม่มีใครสังเกตเห็น
การหลีกเลี่ยงแซนด์บ็อกซ์และการตรวจสอบระบบ
ก่อนที่จะเริ่มกระบวนการแพร่ระบาด มัลแวร์จะทำการตรวจสอบเพื่อพิจารณาว่ากำลังทำงานอยู่ในสภาพแวดล้อมการวิเคราะห์ที่มีการควบคุมหรือไม่
โปรแกรม HTA จะสอบถามคีย์รีจิสทรีของ Windows ที่ HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate เพื่อประเมินระยะเวลาการติดตั้งระบบปฏิบัติการ หากระบบมีอายุน้อยกว่าสิบวัน ซึ่งเป็นลักษณะทั่วไปของสภาพแวดล้อมแบบแซนด์บ็อกซ์ มัลแวร์จะหยุดการทำงาน ขั้นตอนนี้ช่วยให้ผู้โจมตีหลีกเลี่ยงการตรวจจับโดยระบบวิเคราะห์มัลแวร์อัตโนมัติ
กลไกการติดตั้งและการคงอยู่ของข้อมูล
หากระบบผ่านการตรวจสอบสภาพแวดล้อม มัลแวร์จะดำเนินการแตกไฟล์เพิ่มเติมจากไฟล์ ZIP ที่ดาวน์โหลดมา โดยจะแตกไฟล์ออกมาสองไฟล์ ได้แก่ ไฟล์ VBScript และภาพ PNG ที่มีโค้ดซ่อนอยู่ ไฟล์เหล่านี้จะถูกเขียนลงดิสก์โดยใช้ชื่อไฟล์ใหม่
การคงอยู่ในระบบทำได้โดยการสร้างงานที่กำหนดเวลาไว้ซึ่งจะเรียกใช้สคริปต์ VBScript โดยอัตโนมัติ จุดประสงค์หลักของสคริปต์คือการดึงโค้ดที่เป็นอันตรายซึ่งซ่อนอยู่ภายในไฟล์ PNG โค้ดที่ฝังอยู่นี้คือตัวโหลด .NET ที่ถูกเข้ารหัสลับที่เรียกว่า BadPaw ซึ่งจากนั้นจะเริ่มต้นการสื่อสารกับเซิร์ฟเวอร์ควบคุมและสั่งการระยะไกล
BadPaw Loader และ MeowMeow Backdoor
โปรแกรมโหลด BadPaw ทำหน้าที่เป็นตัวกลางในการดาวน์โหลดโมดูลมัลแวร์เพิ่มเติม โดยมีเป้าหมายหลักคือการดึงและติดตั้งไฟล์ปฏิบัติการแบ็กดอร์ชื่อ MeowMeow
แอปพลิเคชัน MeowMeow มีฟีเจอร์เบี่ยงเบนความสนใจที่แปลกประหลาดอยู่ภายในส่วนติดต่อผู้ใช้แบบกราฟิก เมื่อคลิกปุ่ม 'MeowMeow' ที่มองเห็นได้ โปรแกรมจะแสดงข้อความว่า 'Meow Meow Meow' โดยไม่กระทำการใดๆ ที่เป็นอันตราย พฤติกรรมนี้ทำหน้าที่เป็นตัวล่อรองที่ตั้งใจจะทำให้ผู้ตรวจสอบเข้าใจผิดระหว่างการตรวจสอบด้วยตนเอง
ฟังก์ชันการทำงานที่เป็นอันตรายจะถูกเรียกใช้งานภายใต้เงื่อนไขเฉพาะเท่านั้น ไฟล์ปฏิบัติการจะต้องถูกเรียกใช้ด้วยพารามิเตอร์เฉพาะ (-v) ที่ระบุไว้ในระหว่างกระบวนการแพร่เชื้อ และต้องยืนยันว่ากำลังทำงานอยู่บนเครื่องปลายทางจริง ไม่ใช่สภาพแวดล้อมสำหรับการวิเคราะห์
การป้องกันการวิเคราะห์และขีดความสามารถในการปฏิบัติงาน
ก่อนที่จะเปิดใช้งานความสามารถของแบ็กดอร์ มัลแวร์จะตรวจสอบว่ามีเครื่องมือตรวจสอบความปลอดภัยหรือเครื่องมือตรวจสอบทางนิติวิทยาศาสตร์ทำงานอยู่หรือไม่ การทำงานจะหยุดลงหากตรวจพบแอปพลิเคชันเช่น Wireshark, Procmon, Ollydbg หรือ Fiddler ซึ่งจะทำให้การวิเคราะห์ซับซ้อนยิ่งขึ้น
เมื่อเปิดใช้งานแล้ว ช่องโหว่ MeowMeow จะมอบความสามารถหลายอย่างให้แก่ผู้โจมตี:
- การเรียกใช้คำสั่ง PowerShell จากระยะไกลบนโฮสต์ที่ถูกบุกรุก
- การจัดการระบบไฟล์ รวมถึงการอ่าน การเขียน และการลบไฟล์
ฟังก์ชันเหล่านี้อนุญาตให้ผู้โจมตีดำเนินการต่อเนื่อง เช่น การรวบรวมข้อมูล การเคลื่อนที่ในเครือข่าย หรือการติดตั้งเพย์โหลดเพิ่มเติม
ร่องรอยภาษารัสเซียในโค้ดมัลแวร์
ระหว่างการสืบสวน นักวิจัยค้นพบข้อความภาษารัสเซียที่ฝังอยู่ในซอร์สโค้ดของมัลแวร์ ซึ่งเป็นการยืนยันอย่างแข็งแกร่งว่าผู้ก่อภัยคุกคามเป็นชาวรัสเซีย
การพบหลักฐานเหล่านี้อาจบ่งชี้ถึงความเป็นไปได้สองประการ ประการแรก ผู้โจมตีอาจประมาทเลินเล่อด้านความปลอดภัยในการปฏิบัติงาน โดยไม่ได้แปลโค้ดให้เหมาะสมกับสภาพแวดล้อมในประเทศยูเครน หรือประการที่สอง ข้อความเหล่านี้อาจเป็นหลักฐานการพัฒนาที่หลงเหลืออยู่โดยไม่ได้ตั้งใจในระหว่างกระบวนการสร้างมัลแวร์
ไม่ว่าสาเหตุจะเป็นอะไรก็ตาม ตัวบ่งชี้ทางภาษาเหล่านี้มีส่วนช่วยในการประเมินการระบุที่มาในวงกว้าง ซึ่งเชื่อมโยงการโจมตีครั้งนี้กับการปฏิบัติการทางไซเบอร์ของรัสเซีย
