MeowMeow Backdoor

网络安全研究人员发现了一种名为 MeowMeow 的恶意软件家族，该家族此前未被记录，并被用于针对乌克兰组织的网络攻击活动。此次攻击展现了其结构化的感染链，并运用多层欺骗技术来入侵系统并保持持久性。

根据多项指标，此次网络攻击活动被中等程度地归因于俄罗斯国家支持的威胁组织APT28。这一评估依据是该活动的目标选择模式、诱饵中蕴含的地缘政治主题，以及与俄罗斯早期网络行动的技术相似性。

网络钓鱼入口点和初始跟踪机制

攻击始于一封精心制作的钓鱼邮件，该邮件旨在使其看起来可信。邮件发送自与 ukr.net 关联的地址，这种策略很可能是为了提高乌克兰收件人的信任度。

邮件中包含一个链接，声称指向一个 ZIP 压缩文件。当受害者点击该链接时，浏览器不会立即下载文件，而是会加载一个极小的图像，该图像充当追踪像素，向攻击者表明链接已被打开。完成此确认步骤后，受害者会被重定向到另一个 URL，恶意 ZIP 压缩文件最终会在该 URL 上下载。

利用虚假政府文件进行欺骗

一旦压缩文件被解压，感染链就会启动一个 HTML 应用程序 (HTA) 文件。该 HTA 文件会同时执行以下两个操作：

• 显示一份用乌克兰语编写的诱饵文件，内容与越境上诉有关。
• 在后台启动其他恶意进程。

这份文件通过伪装成政府关于边境通关程序的申诉收据，发挥了社会工程学的作用。这种精心炮制的叙事强化了合法性的假象，而恶意活动却在暗中进行。

沙箱规避和系统验证

在进行感染过程之前，恶意软件会执行检查，以确定它是否在受控分析环境中运行。

HTA 会查询 Windows 注册表项 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate，以估算操作系统安装时间。如果系统安装时间不足十天（沙箱环境的常见特征），恶意软件将终止执行。此步骤有助于攻击者规避自动恶意软件分析系统的检测。

有效载荷部署和持久化机制

如果系统通过环境检查，恶意软件会继续从下载的 ZIP 压缩包中提取其他组件。它会提取两个文件：一个 VBScript 文件和一个包含隐藏代码的 PNG 图像。这些文件会以新的文件名写入磁盘。

持久化是通过创建一个计划任务来自动执行 VBScript 脚本实现的。该脚本的主要目的是提取隐藏在 PNG 文件中的恶意代码。这段嵌入的有效载荷是一个名为 BadPaw 的混淆 .NET 加载器，它会与远程命令与控制服务器建立通信。

BadPaw 装载机和 MeowMeow 后门

BadPaw 加载器作为中间组件，负责下载其他恶意软件模块。其主要目标是获取并部署名为 MeowMeow 的后门可执行文件。

MeowMeow应用程序在其图形界面中包含一个不寻常的干扰功能。当点击可见的“MeowMeow”按钮时，程序只会显示“喵喵喵”的消息，而不会执行任何恶意操作。这种行为是一种辅助诱饵，旨在误导分析人员进行人工检查。

恶意功能仅在特定条件下才会触发。该可执行文件必须在感染链中通过特定参数（-v）启动，并且必须确认其运行在真实终端而非分析环境中。

反分析保护和作战能力

在激活后门功能之前，该恶意软件会检查安全或取证监控工具是否正在运行。如果检测到 Wireshark、Procmon、Ollydbg 或 Fiddler 等应用程序，则执行过程会中止，从而进一步增加分析难度。

一旦激活，MeowMeow后门程序将为攻击者提供以下几种能力：

• 在受感染主机上远程执行 PowerShell 命令
• 文件系统操作，包括读取、写入和删除文件

这些功能允许攻击者执行后续操作，例如数据收集、横向移动或进一步的有效载荷部署。

恶意软件代码中的俄语痕迹

在调查过程中，研究人员在恶意软件源代码中发现了嵌入的俄语字符串，这进一步证实了该恶意软件是由讲俄语的威胁行为者所为。

这些痕迹的存在可能表明两种可能性。攻击者可能由于未能针对乌克兰环境对代码进行本地化而犯了安全操作上的疏忽。或者，这些字符串可能代表恶意软件创建过程中无意中遗留的开发痕迹。

无论原因如何，这些语言指标都有助于将此次攻击活动与俄罗斯网络行动联系起来，从而进行更广泛的归因评估。