MeowMeow Hintertür
Cybersicherheitsforscher haben eine bisher unbekannte Malware-Familie namens MeowMeow entdeckt, die in einer Cyberkampagne gegen ukrainische Organisationen eingesetzt wurde. Die Operation demonstriert eine strukturierte Infektionskette und den Einsatz mehrschichtiger Täuschungstechniken, um Systeme zu kompromittieren und sich dauerhaft einzunisten.
Anhand mehrerer Indikatoren wird die Kampagne mit mäßiger Sicherheit dem russischen, staatlich geförderten Bedrohungsakteur APT28 zugeschrieben. Diese Einschätzung stützt sich auf die Zielmuster der Kampagne, die in den Ködern enthaltenen geopolitischen Themen und die technischen Ähnlichkeiten zu früheren russischen Cyberoperationen.
Inhaltsverzeichnis
Phishing-Einstiegspunkt und erster Tracking-Mechanismus
Die Angriffssequenz beginnt mit einer sorgfältig gestalteten Phishing-E-Mail, die glaubwürdig wirken soll. Die Nachricht wird von einer Adresse gesendet, die mit ukr.net in Verbindung steht – eine Taktik, die vermutlich darauf abzielt, das Vertrauen ukrainischer Empfänger zu stärken.
Die E-Mail enthält einen Link, der angeblich zu einem ZIP-Archiv führt. Klickt das Opfer auf den Link, lädt der Browser die Datei nicht sofort herunter. Stattdessen wird ein winziges Bild geladen, das als Tracking-Pixel dient und den Angreifern signalisiert, dass der Link geöffnet wurde. Nach dieser Bestätigung wird das Opfer auf eine andere URL weitergeleitet, wo schließlich das schädliche ZIP-Archiv heruntergeladen wird.
Täuschung durch ein gefälschtes Regierungsdokument
Sobald das Archiv extrahiert ist, startet die Infektionskette eine HTML-Anwendungsdatei (HTA). Die HTA führt gleichzeitig zwei Aktionen aus:
- Zeigt ein in ukrainischer Sprache verfasstes Lockmitteldokument im Zusammenhang mit Aufrufen zum Grenzübertritt.
- Startet im Hintergrund zusätzliche schädliche Prozesse.
Das Dokument dient der sozialen Manipulation, indem es den Anschein erweckt, als bestätige es den Eingang eines Regierungsantrags bezüglich Grenzübergangsverfahren. Diese sorgfältig gestaltete Erzählung verstärkt die Illusion von Legitimität, während böswillige Machenschaften unbemerkt weitergehen.
Sandbox-Umgehung und Systemvalidierung
Bevor die Malware mit dem Infektionsprozess fortfährt, führt sie Prüfungen durch, um festzustellen, ob sie in einer kontrollierten Analyseumgebung ausgeführt wird.
Die HTA fragt den Windows-Registrierungsschlüssel HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate ab, um die Installationsdauer des Betriebssystems zu schätzen. Ist das System jünger als zehn Tage – ein häufiges Merkmal von Sandbox-Umgebungen –, beendet die Malware ihre Ausführung. Dieser Schritt hilft Angreifern, der Erkennung durch automatisierte Malware-Analyse-Systeme zu entgehen.
Mechanismen zur Nutzlastbereitstellung und -speicherung
Wenn das System die Umgebungsprüfungen besteht, extrahiert die Schadsoftware weitere Komponenten aus dem heruntergeladenen ZIP-Archiv. Zwei Dateien werden extrahiert: eine VBScript-Datei und ein PNG-Bild mit verstecktem Code. Diese Dateien werden unter neuen Dateinamen auf der Festplatte gespeichert.
Die Persistenz wird durch einen geplanten Task erreicht, der das VBScript automatisch ausführt. Das Skript dient primär dazu, im PNG-File verborgenen Schadcode zu extrahieren. Diese eingebettete Payload ist ein verschleierter .NET-Loader namens BadPaw, der anschließend die Kommunikation mit einem entfernten Command-and-Control-Server initiiert.
BadPaw Loader und die MeowMeow-Hintertür
Der BadPaw-Loader dient als Zwischenkomponente zum Herunterladen zusätzlicher Malware-Module. Sein Hauptziel ist das Abrufen und Ausführen einer Backdoor-Datei namens MeowMeow.
Die Anwendung MeowMeow verfügt über eine ungewöhnliche Ablenkungsfunktion in ihrer Benutzeroberfläche. Beim Klicken auf die sichtbare Schaltfläche „MeowMeow“ zeigt das Programm lediglich die Meldung „Miau Miau Miau“ an, ohne dabei schädliche Aktionen auszuführen. Dieses Verhalten dient als zusätzliches Ablenkungsmanöver, um Analysten bei der manuellen Überprüfung in die Irre zu führen.
Die eigentliche Schadfunktion wird nur unter bestimmten Bedingungen ausgelöst. Die ausführbare Datei muss mit einem bestimmten Parameter (-v) gestartet werden, der während der Infektionskette angegeben wird, und sie muss bestätigen, dass sie auf einem realen Endpunkt und nicht in einer Analyseumgebung ausgeführt wird.
Anti-Analyse-Schutzmechanismen und operative Fähigkeiten
Bevor die Schadsoftware ihre Hintertürfunktionen aktiviert, prüft sie, ob Sicherheits- oder forensische Überwachungstools ausgeführt werden. Die Ausführung wird gestoppt, wenn Anwendungen wie Wireshark, Procmon, Ollydbg oder Fiddler erkannt werden, was die Analyse zusätzlich erschwert.
Nach der Aktivierung bietet die MeowMeow-Hintertür Angreifern verschiedene Möglichkeiten:
- Remote-Ausführung von PowerShell-Befehlen auf dem kompromittierten Host
- Dateisystemmanipulation, einschließlich Lesen, Schreiben und Löschen von Dateien
Diese Funktionen ermöglichen es Angreifern, Folgeoperationen wie Datenerfassung, laterale Bewegung oder die Ausbringung weiterer Nutzdaten durchzuführen.
Russischsprachige Artefakte im Malware-Code
Im Zuge ihrer Untersuchung entdeckten die Forscher russischsprachige Zeichenketten im Quellcode der Schadsoftware, was die Zuordnung zu einem russischsprachigen Bedrohungsakteur verstärkt.
Das Vorhandensein dieser Artefakte kann auf zwei Möglichkeiten hindeuten. Entweder haben die Angreifer einen Sicherheitsverstoß begangen, indem sie den Code nicht für die ukrainische Umgebung lokalisiert haben, oder die Zeichenketten stellen Entwicklungsartefakte dar, die während der Erstellung der Schadsoftware unbeabsichtigt zurückgeblieben sind.
Ungeachtet der Ursache tragen diese sprachlichen Indikatoren zu einer umfassenderen Zuordnung bei, die die Kampagne mit russischen Cyberoperationen in Verbindung bringt.
