MeowMeow Backdoor

網路安全研究人員發現了一種名為 MeowMeow 的惡意軟體家族，該家族先前未被記錄，並被用於針對烏克蘭組織的網路攻擊活動。這次攻擊展現了其結構化的感染鏈，並運用多層欺騙技術來入侵系統並保持持久性。

根據多項指標，這次網路攻擊活動被中等程度地歸因於俄羅斯國家支持的威脅組織APT28。這項評估依據是該活動的目標選擇模式、誘餌中蘊含的地緣政治主題，以及與俄羅斯早期網路行動的技術相似性。

網路釣魚入口點和初始追蹤機制

攻擊始於一封精心製作的釣魚郵件，該郵件旨在使其看起來可信。郵件發送自與 ukr.net 關聯的地址，這種策略很可能是為了提高烏克蘭收件人的信任度。

郵件中包含一個鏈接，聲稱指向一個 ZIP 壓縮檔。當受害者點擊該連結時，瀏覽器不會立即下載文件，而是會加載一個極小的圖像，該圖像充當追蹤像素，向攻擊者表明連結已被打開。完成此確認步驟後，受害者會被重定向到另一個 URL，惡意 ZIP 壓縮檔案最終會在該 URL 上下載。

利用虛假政府文件進行欺騙

一旦壓縮檔案被解壓縮，感染鏈就會啟動一個 HTML 應用程式 (HTA) 檔案。該 HTA 檔案會同時執行以下兩個操作：

• 顯示一份用烏克蘭語寫的誘餌文件，內容與越境上訴有關。
• 在後台啟動其他惡意進程。

這份文件透過偽裝成政府關於邊境通關程序的申訴收據，發揮了社會工程學的作用。這種精心炮製的敘事強化了合法性的假象，而惡意活動卻在暗中進行。

沙箱規避和系統驗證

在進行感染過程之前，惡意軟體會執行檢查，以確定它是否在受控分析環境中運作。

HTA 會查詢 Windows 登錄機碼 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate，以估算作業系統安裝時間。如果系統安裝時間不足十天（沙箱環境的常見特徵），惡意軟體將終止執行。此步驟有助於攻擊者規避自動惡意軟體分析系統的偵測。

酬載部署與持久化機制

如果系統通過環境檢查，惡意軟體會繼續從下載的 ZIP 壓縮套件中提取其他元件。它會提取兩個檔案：一個 VBScript 檔案和一個包含隱藏程式碼的 PNG 映像。這些檔案會以新的檔案名稱寫入磁碟。

持久化是透過建立一個排程任務來自動執行 VBScript 腳本來實現的。該腳本的主要目的是提取隱藏在 PNG 檔案中的惡意程式碼。這段嵌入的有效載荷是一個名為 BadPaw 的混淆 .NET 載入器，它會與遠端命令與控制伺服器建立通訊。

BadPaw 裝載機和 MeowMeow 後門

BadPaw 載入器作為中間元件，負責下載其他惡意軟體模組。其主要目標是取得並部署名為 MeowMeow 的後門可執行檔。

MeowMeow應用程式在其圖形介面中包含一個不尋常的干擾功能。當點擊可見的「MeowMeow」按鈕時，程式只會顯示「喵喵喵」的訊息，而不會執行任何惡意操作。這種行為是一種輔助誘餌，旨在誤導分析人員進行人工檢查。

惡意功能僅在特定條件下才會觸發。此可執行檔必須在感染鏈中透過特定參數（-v）啟動，並且必須確認其運作在真實終端而非分析環境中。

反分析保護和作戰能力

在啟動後門功能之前，該惡意軟體會檢查安全性或取證監控工具是否正在運作。如果偵測到 Wireshark、Procmon、Ollydbg 或 Fiddler 等應用程序，則執行過程會中止，進一步增加分析難度。

一旦激活，MeowMeow後門程式將為攻擊者提供以下幾種能力：

• 在受感染主機上遠端執行 PowerShell 指令
• 文件系統操作，包括讀取、寫入和刪除文件

這些功能允許攻擊者執行後續操作，例如資料收集、橫向移動或進一步的有效載荷部署。

惡意軟體程式碼中的俄文痕跡

在調查過程中，研究人員在惡意軟體原始碼中發現了嵌入的俄語字串，這進一步證實了該惡意軟體是由講俄語的威脅行為者所為。

這些痕跡的存在可能顯示兩種可能性。攻擊者可能由於未能針對烏克蘭環境對程式碼進行本地化而犯了安全操作上的疏忽。或者，這些字串可能代表惡意軟體創建過程中無意中遺留的開發痕跡。

無論原因為何，這些語言指標都有助於將攻擊活動與俄羅斯網路行動聯繫起來，從而進行更廣泛的歸因評估。