MeowMeow Arka Kapı
Siber güvenlik araştırmacıları, Ukrayna kuruluşlarını hedef alan bir siber saldırıda kullanılan, daha önce belgelenmemiş MeowMeow adlı bir kötü amaçlı yazılım ailesini ortaya çıkardı. Operasyon, yapılandırılmış bir enfeksiyon zincirini ve sistemleri tehlikeye atmak ve kalıcılığı sağlamak için katmanlı aldatma tekniklerinin kullanımını göstermektedir.
Çeşitli göstergelere dayanarak, kampanya orta düzeyde bir güvenle Rus devlet destekli tehdit aktörü APT28'e atfedilmiştir. Bu değerlendirme, kampanyanın hedefleme kalıplarına, yemlere yerleştirilmiş jeopolitik temalara ve daha önceki Rus siber operasyonlarıyla olan teknik benzerliklere dayanmaktadır.
İçindekiler
Kimlik Avı Giriş Noktası ve İlk İzleme Mekanizması
Saldırı dizisi, güvenilir görünmesi için özenle hazırlanmış bir kimlik avı e-postasıyla başlar. Mesaj, Ukraynalı alıcılar arasında güveni artırmak amacıyla muhtemelen ukr.net ile ilişkili bir adresten gönderilir.
E-postanın içinde, ZIP arşivine yönlendirdiği iddia edilen bir bağlantı bulunmaktadır. Kurban bağlantıya tıkladığında, tarayıcı dosyayı hemen indirmez. Bunun yerine, saldırganlara bağlantının açıldığını bildiren bir izleme pikseli görevi gören son derece küçük bir resim yükler. Bu onay adımından sonra, kurban kötü amaçlı ZIP arşivinin nihayet indirildiği başka bir URL'ye yönlendirilir.
Sahte bir devlet belgesi aracılığıyla aldatma
Arşiv çıkarıldıktan sonra, enfeksiyon zinciri bir HTML Uygulaması (HTA) dosyası başlatır. HTA aynı anda iki işlem gerçekleştirir:
- Ukraynaca yazılmış, sınır geçişi çağrılarıyla ilgili bir tuzak belgesi görüntüleniyor.
- Arka planda ek kötü amaçlı işlemler başlatır.
Bu belge, sınır geçiş prosedürleriyle ilgili bir hükümet itirazının alındığına dair bir teyit gibi görünerek bir sosyal mühendislik mekanizması görevi görüyor. Dikkatlice kurgulanmış bu anlatı, meşruiyet yanılsamasını güçlendirirken, kötü niyetli faaliyetler görünmeden devam ediyor.
Sanal Ortamdan Kaçınma ve Sistem Doğrulama
Virüs bulaştırma işlemine başlamadan önce, zararlı yazılım kontrollü bir analiz ortamında çalışıp çalışmadığını belirlemek için kontroller gerçekleştirir.
HTA, işletim sisteminin ne kadar süredir yüklü olduğunu tahmin etmek için Windows Kayıt Defteri anahtarı HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate'i sorgular. Sistem on günden daha eski değilse (sandbox ortamlarının yaygın bir özelliği), kötü amaçlı yazılım yürütmeyi sonlandırır. Bu adım, saldırganların otomatik kötü amaçlı yazılım analiz sistemleri tarafından tespit edilmekten kaçınmasına yardımcı olur.
Yük Dağıtım ve Kalıcılık Mekanizmaları
Sistem ortam kontrollerinden geçerse, kötü amaçlı yazılım indirilen ZIP arşivinden ek bileşenler çıkarmaya başlar. İki dosya alınır: bir VBScript dosyası ve gizli kod içeren bir PNG görüntüsü. Bu dosyalar yeni dosya adlarıyla diske yazılır.
Kalıcılık, VBScript'i otomatik olarak çalıştıran zamanlanmış bir görev oluşturularak sağlanır. Komut dosyasının temel amacı, PNG dosyası içinde gizlenmiş kötü amaçlı kodu çıkarmaktır. Bu gömülü zararlı yazılım, BadPaw olarak bilinen gizlenmiş bir .NET yükleyicisidir ve daha sonra uzak bir komuta ve kontrol sunucusuyla iletişimi başlatır.
BadPaw Loader ve MeowMeow Arka Kapısı
BadPaw yükleyicisi, ek kötü amaçlı yazılım modüllerini indirmekten sorumlu aracı bileşen olarak görev yapar. Ana amacı, MeowMeow adlı bir arka kapı yürütülebilir dosyasını indirip dağıtmaktır.
MeowMeow uygulaması, grafik arayüzünde alışılmadık bir dikkat dağıtma özelliği içeriyor. Görünür 'MeowMeow' düğmesine tıklandığında, program sadece 'Miyav Miyav Miyav' mesajını görüntülüyor ve hiçbir kötü amaçlı işlem gerçekleştirmiyor. Bu davranış, manuel inceleme sırasında analistleri yanıltmak amacıyla tasarlanmış ikincil bir yem görevi görüyor.
Asıl kötü amaçlı işlev yalnızca belirli koşullar altında tetiklenir. Çalıştırılabilir dosya, enfeksiyon zinciri sırasında sağlanan belirli bir parametre (-v) ile başlatılmalı ve bir analiz ortamında değil, gerçek bir uç noktada çalıştığını doğrulamalıdır.
Analiz Karşıtı Korumalar ve Operasyonel Yetenekler
Kötü amaçlı yazılım, arka kapı özelliklerini etkinleştirmeden önce güvenlik veya adli izleme araçlarının çalışıp çalışmadığını kontrol eder. Wireshark, Procmon, Ollydbg veya Fiddler gibi uygulamalar tespit edilirse, yürütme durdurulur ve bu da analiz çabalarını daha da zorlaştırır.
Etkinleştirildikten sonra, MeowMeow arka kapısı saldırganlara çeşitli yetenekler sağlar:
- Ele geçirilen sunucuda PowerShell komutlarının uzaktan yürütülmesi
- Dosya sistemi manipülasyonu, dosya okuma, yazma ve silme işlemlerini içerir.
Bu işlevler, saldırganların veri toplama, yatay hareket veya daha fazla zararlı yazılım yayma gibi takip eden işlemleri gerçekleştirmesine olanak tanır.
Kötü amaçlı yazılım kodunda Rusça diline ait öğeler
Araştırmacılar, soruşturmaları sırasında kötü amaçlı yazılımın kaynak koduna gömülü Rusça metin dizeleri keşfettiler ve bu da saldırının Rusça konuşan bir tehdit unsuru tarafından gerçekleştirildiği yönündeki iddiaları güçlendirdi.
Bu kalıntıların varlığı iki olasılıktan birini gösterebilir. Saldırganlar, Ukrayna ortamı için kodu yerelleştirmeyerek operasyonel bir güvenlik açığı yapmış olabilirler. Alternatif olarak, bu dizeler, kötü amaçlı yazılımın oluşturulma sürecinde istemeden geride bırakılan geliştirme kalıntılarını temsil ediyor olabilir.
Sebebi ne olursa olsun, bu dilsel göstergeler, kampanyayı Rus siber operasyonlarıyla ilişkilendiren daha geniş kapsamlı değerlendirmeye katkıda bulunuyor.
