Các nhà nghiên cứu an ninh mạng đã công bố thông tin chi tiết về một chiến dịch tấn công mạng mới của Nga nhằm vào các thực thể Ukraine bằng hai họ mã độc chưa từng được ghi nhận trước đây, được đặt tên là BadPaw và MeowMeow.
"Chuỗi tấn công bắt đầu bằng một email lừa đảo chứa liên kết đến một tệp lưu trữ ZIP. Sau khi giải nén, một tệp HTA ban đầu hiển thị một tài liệu nhử mồi được viết bằng tiếng Ukraine liên quan đến các đơn xin vượt biên để lừa nạn nhân," ClearSky cho biết trong một báo cáo được công bố tuần này.
Song song đó, chuỗi tấn công dẫn đến việc triển khai một loader dựa trên .NET có tên là BadPaw, sau đó thiết lập liên lạc với một máy chủ từ xa để tải về và triển khai một backdoor tinh vi có tên là MeowMeow.
Chiến dịch này được cho là có liên quan với mức độ tin cậy vừa phải đến tác nhân đe dọa do nhà nước Nga tài trợ, được gọi là APT28, dựa trên dấu vết mục tiêu, bản chất địa chính trị của các mồi nhử được sử dụng và sự trùng lặp với các kỹ thuật được quan sát trong các hoạt động mạng trước đây của Nga.
Điểm khởi đầu của chuỗi tấn công là một email lừa đảo được gửi từ ukr[.]net, có thể là một nỗ lực để tạo dựng sự tin cậy và đảm bảo lòng tin của các nạn nhân mục tiêu. Trong thư có một liên kết đến một tệp ZIP được cho là hợp lệ, khiến người dùng bị chuyển hướng đến một URL tải một "hình ảnh cực nhỏ", hoạt động như một pixel theo dõi để báo hiệu cho các nhà điều hành rằng liên kết đã được nhấp.
Sau khi bước này hoàn tất, nạn nhân được chuyển hướng đến một URL thứ cấp để tải xuống tệp lưu trữ. Tệp ZIP bao gồm một HTML Application (HTA) mà, khi được khởi chạy, sẽ thả một tài liệu mồi nhử làm cơ chế đánh lạc hướng, đồng thời thực thi các giai đoạn tiếp theo trong nền.
"Tài liệu mồi nhử được thả xuống đóng vai trò là một chiến thuật kỹ thuật xã hội, trình bày một xác nhận đã nhận được đơn kháng cáo của chính phủ liên quan đến việc vượt biên giới Ukraine," ClearSky cho biết. "Mồi nhử này nhằm duy trì vẻ hợp pháp."
Tệp HTA cũng thực hiện các kiểm tra để tránh chạy trong môi trường sandbox. Nó làm điều này bằng cách truy vấn khóa Windows Registry "KLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate" để ước tính "tuổi" của hệ điều hành. Mã độc được thiết kế để hủy bỏ thực thi nếu hệ thống được cài đặt chưa đầy mười ngày trước đó.
Nếu hệ thống đáp ứng các tiêu chí môi trường, mã độc sẽ định vị tệp lưu trữ ZIP đã tải xuống và trích xuất hai tệp từ đó – một Visual Basic Script (VBScript) và một hình ảnh PNG – và lưu chúng vào đĩa với các tên khác nhau. Nó cũng tạo một tác vụ theo lịch trình để thực thi VBScript như một cách để đảm bảo tính dai dẳng trên hệ thống bị nhiễm.
Trách nhiệm chính của VBScript là trích xuất mã độc hại được nhúng trong hình ảnh PNG, một loader bị che giấu được gọi là BadPaw có khả năng liên hệ với máy chủ command-and-control (C2) để tải xuống các thành phần bổ sung, bao gồm một tệp thực thi có tên MeowMeow.
"Phù hợp với kỹ thuật của 'BadPaw', nếu tệp này được thực thi độc lập khỏi chuỗi tấn công hoàn chỉnh, nó sẽ khởi tạo một chuỗi mã giả," công ty an ninh mạng của Israel giải thích. "Việc thực thi mồi nhử này hiển thị giao diện người dùng đồ họa (GUI) với hình ảnh một con mèo, phù hợp với chủ đề hình ảnh của tệp hình ảnh ban đầu mà từ đó mã độc chính được trích xuất."
"Khi nút 'MeowMeow' trong GUI mồi nhử được nhấp, ứng dụng chỉ đơn giản hiển thị thông báo 'Meow Meow Meow', không thực hiện thêm hành động độc hại nào. Điều này đóng vai trò là mồi nhử chức năng thứ cấp để đánh lừa phân tích thủ công."
Mã độc của backdoor chỉ được kích hoạt khi nó được thực thi với một tham số nhất định ("-v") được cung cấp bởi chuỗi lây nhiễm ban đầu, và sau khi kiểm tra xem nó có đang chạy trên một endpoint thực tế hay không thay vì một sandbox, và không có các công cụ pháp y và giám sát như Wireshark, Procmon, Ollydbg, và Fiddler đang chạy trong nền.
Về cốt lõi, MeowMeow được trang bị để thực thi từ xa các lệnh PowerShell trên máy chủ bị xâm nhập và hỗ trợ các hoạt động hệ thống tệp, chẳng hạn như khả năng đọc, ghi và xóa dữ liệu. ClearSky cho biết họ đã xác định các chuỗi ký tự tiếng Nga trong mã nguồn, củng cố đánh giá rằng hoạt động này là công việc của một tác nhân đe dọa nói tiếng Nga.
"Sự hiện diện của các chuỗi ký tự tiếng Nga này gợi ý hai khả năng: tác nhân đe dọa đã mắc lỗi operational security (OPSEC) khi không bản địa hóa mã cho môi trường mục tiêu Ukraine, hoặc họ vô tình để lại các tạo phẩm phát triển tiếng Nga trong mã trong giai đoạn sản xuất mã độc," công ty này cho biết.
