Бекдор MeowMeow
Дослідники з кібербезпеки виявили раніше не документоване сімейство шкідливих програм під назвою MeowMeow, розгорнуте в кіберкампанії, спрямованій проти українських організацій. Операція демонструє структурований ланцюг зараження та використання багаторівневих методів обману для компрометації систем та підтримки їхньої стійкості.
На основі багатьох показників, кампанію з помірною впевненістю приписують спонсорованому російською державою кіберзлочинцю APT28. Ця оцінка ґрунтується на схемах таргетування кампанії, геополітичних темах, вбудованих у приманки, та технічній схожості з попередніми російськими кіберопераціями.
Зміст
Точка входу фішингу та початковий механізм відстеження
Послідовність атаки починається з ретельно розробленого фішингового електронного листа, який має виглядати правдоподібним. Повідомлення надсилається з адреси, пов'язаної з ukr.net, що, ймовірно, має на меті підвищити довіру серед українських одержувачів.
У електронному листі міститься посилання, яке нібито веде на ZIP-архів. Коли жертва натискає на посилання, браузер не завантажує файл негайно. Натомість він завантажує надзвичайно мале зображення, яке функціонує як піксель відстеження, сигналізуючи зловмисникам про відкриття посилання. Після цього етапу підтвердження жертву перенаправляють на іншу URL-адресу, де нарешті завантажується шкідливий ZIP-архів.
Обман за допомогою урядового документа-приманки
Після розпакування архіву ланцюжок зараження запускає файл HTML-додатку (HTA). HTA одночасно виконує дві дії:
- Демонструє документ-приманку, написаний українською мовою, що стосується звернень щодо перетину кордону.
- Ініціює додаткові шкідливі процеси у фоновому режимі.
Цей документ діє як механізм соціальної інженерії, представляючи те, що виглядає як підтвердження отримання урядового звернення щодо процедур перетину кордону. Цей ретельно розроблений наратив підсилює ілюзію легітимності, тоді як зловмисна діяльність продовжується непомітно.
Уникнення пісочниці та перевірка системи
Перш ніж продовжити процес зараження, шкідливе програмне забезпечення виконує перевірки, щоб визначити, чи працює воно в контрольованому середовищі аналізу.
Аналіз технічних характеристик (HTA) запитує ключ реєстру Windows HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate, щоб оцінити, як давно встановлено операційну систему. Якщо системі менше десяти днів, що є поширеною характеристикою середовищ «пісочниці», шкідливе програмне забезпечення припиняє виконання. Цей крок допомагає зловмисникам уникнути виявлення автоматизованими системами аналізу шкідливих програм.
Механізми розгортання та збереження корисного навантаження
Якщо система проходить перевірку середовища, шкідливе програмне забезпечення починає видобувати додаткові компоненти із завантаженого ZIP-архіву. Отримуються два файли: файл VBScript та зображення PNG, що містить прихований код. Ці файли записуються на диск під новими іменами.
Збереження досягається шляхом створення запланованого завдання, яке автоматично виконує VBScript. Основне призначення скрипта — вилучити шкідливий код, прихований у файлі PNG. Це вбудоване корисне навантаження — обфускований завантажувач .NET, відомий як BadPaw, який потім ініціює зв'язок з віддаленим сервером командного керування.
BadPaw Loader та бекдор MeowMeow
Завантажувач BadPaw служить проміжним компонентом, відповідальним за завантаження додаткових модулів шкідливого програмного забезпечення. Його головна мета — отримати та розгорнути виконуваний файл бекдору під назвою MeowMeow.
Додаток MeowMeow містить незвичайну функцію відволікання уваги у своєму графічному інтерфейсі. Коли натискається видима кнопка «MeowMeow», програма просто відображає повідомлення «Meow Meow Meow Meow», не виконуючи жодної шкідливої діяльності. Така поведінка діє як вторинна приманка, призначена для введення аналітиків в оману під час ручної перевірки.
Фактично шкідлива функціональність запускається лише за певних умов. Виконуваний файл має бути запущений з певним параметром (-v), наданим під час ланцюжка зараження, і він має підтвердити, що працює на реальній кінцевій точці, а не в середовищі аналізу.
Захист від аналізу та операційні можливості
Перш ніж активувати свої можливості бекдору, шкідливе програмне забезпечення перевіряє, чи запущені інструменти безпеки або судово-медичного моніторингу. Виконання зупиняється, якщо виявляються такі програми, як Wireshark, Procmon, Ollydbg або Fiddler, що ще більше ускладнює аналіз.
Після активації бекдор MeowMeow надає зловмисникам кілька можливостей:
- Віддалене виконання команд PowerShell на скомпрометованому хості
- Маніпуляції з файловою системою, включаючи читання, запис та видалення файлів
Ці функції дозволяють зловмисникам виконувати подальші операції, такі як збір даних, горизонтальне переміщення або подальше розгортання корисного навантаження.
Російськомовні артефакти в коді шкідливого програмного забезпечення
Під час розслідування дослідники виявили російськомовні рядки, вбудовані у вихідний код шкідливого програмного забезпечення, що підтверджує атрибуцію російськомовного зловмисника.
Наявність цих артефактів може вказувати на одну з двох можливостей. Зловмисники могли допустити порушення операційної безпеки, не локалізувавши код для українського середовища. Або ж рядки можуть представляти артефакти розробки, ненавмисно залишені під час процесу створення шкідливого програмного забезпечення.
Незалежно від причини, ці лінгвістичні показники сприяють ширшій оцінці атрибуції, яка пов'язує кампанію з російськими кіберопераціями.
