MeowMeow Backdoor

Natuklasan ng mga mananaliksik sa cybersecurity ang isang dating walang dokumentadong pamilya ng malware na nagngangalang MeowMeow, na ipinakalat sa isang cyber campaign na tumatarget sa mga organisasyong Ukrainiano. Ipinapakita ng operasyon ang isang nakabalangkas na kadena ng impeksyon at ang paggamit ng mga patong-patong na pamamaraan ng panlilinlang upang ikompromiso ang mga sistema at mapanatili ang pagtitiyaga.

Batay sa maraming tagapagpahiwatig, ang kampanya ay iniugnay nang may katamtamang kumpiyansa sa aktor ng banta na itinataguyod ng estado ng Russia na APT28. Ang pagtatasang ito ay nakasalalay sa mga pattern ng pag-target ng kampanya, mga temang geopolitical na nakapaloob sa mga pang-akit, at mga teknikal na pagkakatulad sa mga naunang operasyon sa cyber ng Russia.

Punto ng Pagpasok sa Phishing at Paunang Mekanismo ng Pagsubaybay

Ang pagkakasunod-sunod ng pag-atake ay nagsisimula sa isang maingat na ginawang phishing email na idinisenyo upang magmukhang kapani-paniwala. Ang mensahe ay ipinadala mula sa isang address na nauugnay sa ukr.net, isang taktika na malamang na nilayon upang mapataas ang tiwala ng mga tatanggap na Ukrainian.

Sa loob ng email ay may link na nagsasabing papunta ito sa isang ZIP archive. Kapag na-click ng biktima ang link, hindi agad na dina-download ng browser ang file. Sa halip, naglo-load ito ng napakaliit na imahe na gumaganap bilang tracking pixel, na nagbibigay ng senyales sa mga umaatake na nabuksan na ang link. Pagkatapos ng hakbang na ito ng pagkumpirma, ire-redirect ang biktima sa isa pang URL kung saan tuluyang nada-download ang malisyosong ZIP archive.

Panlilinlang sa Pamamagitan ng Isang Dekoy na Dokumento ng Gobyerno

Kapag na-extract na ang archive, ilulunsad ng infection chain ang isang HTML Application (HTA) file. Ang HTA ay sabay na nagsasagawa ng dalawang aksyon:

• Nagpapakita ng dokumentong pang-akit na nakasulat sa wikang Ukrainian na may kaugnayan sa mga apela sa pagtawid sa hangganan.
• Nagsisimula ng mga karagdagang malisyosong proseso sa background.

Ang dokumento ay nagsisilbing mekanismo ng social engineering sa pamamagitan ng paglalahad ng tila kumpirmasyon ng pagtanggap para sa isang apela ng gobyerno hinggil sa mga pamamaraan ng pagtawid sa hangganan. Ang maingat na ginawang salaysay na ito ay nagpapatibay sa ilusyon ng pagiging lehitimo habang ang malisyosong aktibidad ay patuloy na hindi nakikita.

Pag-iwas sa Sandbox at Pagpapatunay ng Sistema

Bago magpatuloy sa proseso ng impeksyon, nagsasagawa muna ng mga pagsusuri ang malware upang matukoy kung tumatakbo ito sa isang kontroladong kapaligiran sa pagsusuri.

Kinukuwestiyon ng HTA ang Windows Registry key na HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate upang tantyahin kung gaano katagal na-install ang operating system. Kung ang system ay wala pang sampung araw, isang karaniwang katangian ng mga sandbox environment, tinatapos ng malware ang pagpapatupad. Ang hakbang na ito ay nakakatulong sa mga attacker na maiwasan ang pagtuklas ng mga automated malware analysis system.

Mga Mekanismo ng Pag-deploy ng Payload at Pagtitiyaga

Kung papasa ang sistema sa mga pagsusuri sa kapaligiran, magpapatuloy ang malware sa pagkuha ng mga karagdagang bahagi mula sa na-download na ZIP archive. Dalawang file ang makukuha: isang VBScript file at isang PNG na imahe na naglalaman ng nakatagong code. Ang mga file na ito ay isinusulat sa disk sa ilalim ng mga bagong pangalan ng file.

Nakakamit ang pagtitiyaga sa pamamagitan ng paglikha ng isang naka-iskedyul na gawain na awtomatikong nagpapatupad ng VBScript. Ang pangunahing layunin ng script ay kunin ang malisyosong code na nakatago sa loob ng PNG file. Ang naka-embed na payload na ito ay isang obfuscated .NET loader na kilala bilang BadPaw, na siyang nagsisimula ng komunikasyon sa isang remote command-and-control server.

BadPaw Loader at ang MeowMeow Backdoor

Ang BadPaw loader ay nagsisilbing intermediary component na responsable para sa pag-download ng mga karagdagang malware module. Ang pangunahing layunin nito ay kunin at i-deploy ang isang backdoor executable na pinangalanang MeowMeow.

Ang aplikasyong MeowMeow ay mayroong kakaibang tampok na pang-abala sa loob ng graphical interface nito. Kapag pinindot ang nakikitang buton na 'MeowMeow', ipapakita lamang ng programa ang isang mensahe na nagsasabing 'Meow Meow Meow,' na walang ginagawang anumang malisyosong aktibidad. Ang pag-uugaling ito ay nagsisilbing pangalawang panlilinlang na nilayon upang linlangin ang mga analyst habang manu-manong inspeksyon.

Ang aktwal na malisyosong functionality ay nati-trigger lamang sa ilalim ng mga partikular na kundisyon. Ang executable ay dapat ilunsad gamit ang isang partikular na parameter (-v) na ibinigay sa panahon ng infection chain, at dapat nitong kumpirmahin na ito ay tumatakbo sa isang tunay na endpoint sa halip na isang analysis environment.

Mga Proteksyon Laban sa Pagsusuri at mga Kakayahang Operasyonal

Bago i-activate ang mga kakayahan nito sa backdoor, sinusuri muna ng malware kung gumagana ang mga security o forensic monitoring tool. Itinitigil ang pagpapatupad kung may made-detect na mga application tulad ng Wireshark, Procmon, Ollydbg, o Fiddler, na lalong nagpapahirap sa mga pagsisikap sa pagsusuri.

Kapag na-activate na, ang MeowMeow backdoor ay nagbibigay sa mga umaatake ng ilang kakayahan:

• Malayuang pagpapatupad ng mga utos ng PowerShell sa nakompromisong host
• Pagmamanipula ng file system, kabilang ang pagbabasa, pagsulat, at pagtanggal ng mga file

Ang mga tungkuling ito ay nagbibigay-daan sa mga umaatake na magsagawa ng mga kasunod na operasyon tulad ng pagkolekta ng datos, paggalaw sa gilid, o karagdagang pag-deploy ng payload.

Mga Artipakto sa Wikang Ruso sa Malware Code

Sa kanilang imbestigasyon, natuklasan ng mga mananaliksik ang mga string sa wikang Ruso na naka-embed sa loob ng source code ng malware, na nagpapalakas sa pagpapatungkol sa isang aktor ng banta na nagsasalita ng Ruso.

Ang pagkakaroon ng mga artifact na ito ay maaaring magpahiwatig ng isa sa dalawang posibilidad. Ang mga umaatake ay maaaring nakagawa ng isang operational security oversight sa pamamagitan ng hindi pag-localize ng code para sa kapaligirang Ukrainian. Bilang kahalili, ang mga string ay maaaring kumakatawan sa mga development artifact na hindi sinasadyang naiwan habang ginagawa ang malware.

Anuman ang sanhi, ang mga tagapagpahiwatig na ito sa wika ay nakakatulong sa mas malawak na pagtatasa ng pagpapatungkol na nag-uugnay sa kampanya sa mga operasyon sa cyber ng Russia.