MeowMeow Cửa sau
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một họ phần mềm độc hại chưa từng được ghi nhận trước đây có tên MeowMeow, được triển khai trong một chiến dịch tấn công mạng nhắm vào các tổ chức của Ukraine. Chiến dịch này cho thấy một chuỗi lây nhiễm có cấu trúc và việc sử dụng các kỹ thuật đánh lừa nhiều lớp để xâm nhập hệ thống và duy trì sự hiện diện.
Dựa trên nhiều chỉ số, chiến dịch này được cho là do nhóm tin tặc APT28 do nhà nước Nga bảo trợ thực hiện với độ tin cậy vừa phải. Đánh giá này dựa trên các mô hình nhắm mục tiêu của chiến dịch, các chủ đề địa chính trị được lồng ghép trong các thông điệp dụ dỗ và sự tương đồng về kỹ thuật với các hoạt động tấn công mạng trước đây của Nga.
Mục lục
Điểm xâm nhập và cơ chế theo dõi ban đầu của tấn công lừa đảo
Chuỗi tấn công bắt đầu bằng một email lừa đảo được soạn thảo kỹ lưỡng, trông rất đáng tin cậy. Tin nhắn được gửi từ một địa chỉ liên kết với ukr.net, một chiến thuật có thể nhằm mục đích tăng cường lòng tin của người nhận ở Ukraine.
Trong email có một liên kết được cho là dẫn đến một tệp lưu trữ ZIP. Khi nạn nhân nhấp vào liên kết, trình duyệt không tải xuống tệp ngay lập tức. Thay vào đó, nó tải một hình ảnh cực nhỏ hoạt động như một pixel theo dõi, báo hiệu cho kẻ tấn công rằng liên kết đã được mở. Sau bước xác nhận này, nạn nhân được chuyển hướng đến một URL khác, nơi tệp lưu trữ ZIP độc hại cuối cùng được tải xuống.
Lừa dối thông qua tài liệu giả mạo của chính phủ.
Sau khi giải nén tệp lưu trữ, chuỗi lây nhiễm sẽ khởi chạy một tệp Ứng dụng HTML (HTA). Tệp HTA đồng thời thực hiện hai hành động:
- Hiển thị một tài liệu mồi nhử được viết bằng tiếng Ukraina liên quan đến các đơn kháng cáo vượt biên.
- Khởi tạo thêm các tiến trình độc hại khác trong nền.
Tài liệu này hoạt động như một cơ chế thao túng tâm lý bằng cách trình bày những gì dường như là xác nhận đã nhận được đơn kháng cáo của chính phủ liên quan đến thủ tục qua biên giới. Câu chuyện được dàn dựng cẩn thận này củng cố ảo tưởng về tính hợp pháp trong khi các hoạt động độc hại vẫn tiếp diễn mà không bị phát hiện.
Vượt qua rào cản hộp cát và xác thực hệ thống
Trước khi tiến hành quá trình lây nhiễm, phần mềm độc hại thực hiện các bước kiểm tra để xác định xem nó có đang hoạt động trong môi trường phân tích được kiểm soát hay không.
Phần mềm độc hại HTA truy vấn khóa Registry của Windows HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate để ước tính thời gian hệ điều hành được cài đặt. Nếu hệ thống chưa đến mười ngày tuổi, một đặc điểm phổ biến của môi trường sandbox, phần mềm độc hại sẽ chấm dứt quá trình thực thi. Bước này giúp kẻ tấn công tránh bị phát hiện bởi các hệ thống phân tích phần mềm độc hại tự động.
Cơ chế triển khai và duy trì tải trọng
Nếu hệ thống vượt qua các bước kiểm tra môi trường, phần mềm độc hại sẽ tiến hành trích xuất thêm các thành phần từ tệp ZIP đã tải xuống. Hai tệp được thu thập: một tệp VBScript và một hình ảnh PNG chứa mã ẩn. Các tệp này được ghi vào ổ đĩa với tên tệp mới.
Tính năng duy trì hoạt động được tạo ra bằng cách thiết lập một tác vụ theo lịch trình tự động thực thi tập lệnh VBScript. Mục đích chính của tập lệnh là trích xuất mã độc hại được giấu kín trong tệp PNG. Mã độc được nhúng này là một trình tải .NET bị làm mờ có tên là BadPaw, sau đó sẽ khởi tạo liên lạc với máy chủ điều khiển từ xa.
BadPaw Loader và MeowMeow Backdoor
Trình tải BadPaw đóng vai trò là thành phần trung gian chịu trách nhiệm tải xuống các mô-đun phần mềm độc hại bổ sung. Mục tiêu chính của nó là thu thập và triển khai một tệp thực thi cửa hậu có tên MeowMeow.
Ứng dụng MeowMeow tích hợp một tính năng đánh lạc hướng bất thường trong giao diện đồ họa của nó. Khi nhấn vào nút 'MeowMeow' hiển thị, chương trình chỉ đơn giản hiển thị một thông báo có nội dung 'Meow Meow Meow', mà không thực hiện bất kỳ hoạt động độc hại nào. Hành vi này hoạt động như một mồi nhử thứ cấp nhằm đánh lừa các nhà phân tích trong quá trình kiểm tra thủ công.
Chức năng độc hại thực sự chỉ được kích hoạt trong những điều kiện cụ thể. Tệp thực thi phải được khởi chạy với một tham số cụ thể (-v) được cung cấp trong chuỗi lây nhiễm, và nó phải xác nhận rằng nó đang chạy trên một thiết bị đầu cuối thực chứ không phải môi trường phân tích.
Các biện pháp bảo vệ chống phân tích và khả năng vận hành
Trước khi kích hoạt khả năng cửa hậu, phần mềm độc hại kiểm tra xem các công cụ giám sát an ninh hoặc pháp y có đang chạy hay không. Quá trình thực thi sẽ bị dừng lại nếu phát hiện các ứng dụng như Wireshark, Procmon, Ollydbg hoặc Fiddler, điều này càng làm phức tạp thêm các nỗ lực phân tích.
Sau khi được kích hoạt, phần mềm độc hại MeowMeow cung cấp cho kẻ tấn công một số khả năng:
- Thực thi từ xa các lệnh PowerShell trên máy chủ bị xâm nhập
- Thao tác với hệ thống tập tin, bao gồm đọc, ghi và xóa tập tin.
Các chức năng này cho phép kẻ tấn công thực hiện các hoạt động tiếp theo như thu thập dữ liệu, di chuyển ngang hoặc triển khai thêm phần mềm độc hại.
Các dấu vết ngôn ngữ Nga trong mã độc
Trong quá trình điều tra, các nhà nghiên cứu đã phát hiện các chuỗi ký tự tiếng Nga được nhúng trong mã nguồn phần mềm độc hại, củng cố thêm bằng chứng cho thấy nhóm tội phạm này nói tiếng Nga.
Sự hiện diện của những dấu vết này có thể cho thấy một trong hai khả năng. Những kẻ tấn công có thể đã phạm phải sai sót về an ninh vận hành khi không bản địa hóa mã nguồn cho môi trường Ukraine. Hoặc, các chuỗi ký tự này có thể là những dấu vết phát triển vô tình bị bỏ lại trong quá trình tạo ra phần mềm độc hại.
Bất kể nguyên nhân là gì, những dấu hiệu ngôn ngữ này đều góp phần vào việc đánh giá tổng thể về mối liên hệ giữa chiến dịch này với các hoạt động mạng của Nga.
