ウクライナのメールサービスを利用して信頼性を構築する新たに特定されたマルウェアキャンペーンが、サイバーセキュリティ研究者によって明かされました。
この作戦は、人気のあるウクライナプロバイダーであるukr[.]netでホストされたアドレスから送信されたメールで始まります。このプロバイダーは、以前のキャンペーンでロシア関連の脅威アクターAPT28によって悪用されていました。
マルウェアに「BadPaw」と名付けたClearSkyの研究者による勧告によると、受信者がZIPアーカイブをホストしていると主張するリンクをクリックするとこの攻撃がトリガーされます。直接ダウンロードを開始する代わりに、被害者はトラッキングピクセルをロードするドメインにリダイレクトされ、攻撃者が関与を確認できます。その後、2番目のリダイレクトがZIPファイルを配信します。
アーカイブは標準的なHTMLファイルを含んでいるように見えますが、ClearSkyの研究者はそれが実際には変装したHTAアプリケーションであることを発見しました。実行されると、ファイルはウクライナ政府の国境通行上訴を参照する偽りの文書を表示し、悪意のあるプロセスはバックグラウンドで実行されます。
マルウェア回避技法についてさらに読む:攻撃者が恐喝のために隠密性を好む「デジタル寄生虫」警告
進む前に、マルウェアはシステムのインストール日付を確認するためにWindowsレジストリキーをチェックします。オペレーティングシステムが10日未満の場合、実行は停止します。これはセキュリティアナリストが使用するサンドボックス環境を回避するために設計された戦術です。
条件が満たされた場合、マルウェアは元のZIPファイルを検索し、追加のコンポーネントを抽出します。永続性はVBSスクリプトを実行するスケジュール済みタスクを通じて達成され、画像ファイルから隠された実行可能コードを抽出するためにステガノグラフィを使用します。
分析時点では、わずか9つのアンチウイルスエンジンがペイロードを検出しました。
多層化されたバックドアと属性
-
/getcalendarエンドポイントから数値レスポンスを取得する
-
/eventmanagerを経由して「Telemetry UP!」というタイトルのランディングページにアクセスする
-
HTML内に埋め込まれたASCIIエンコードされたペイロードデータをダウンロードする
デコードされたデータは最終的に「MeowMeowProgram[.]exe」という名前のバックドアをデプロイし、リモートシェルアクセスとファイルシステム制御を提供します。
MeowMeowバックドアは、ランタイムパラメータ要件、.NET Reactorオブファスケーション、サンドボックス検出、およびWireshark、Procmon、Ollydbg、Fiddlerなどのフォレンジックツール監視を含む4つの防衛層を組み込んでいます。
誤って実行された場合、猫の画像をフィーチャーした無害なグラフィカルインターフェースを表示します。「MeowMeow」ボタンをクリックするだけで無害なメッセージが生成されます。
ClearSkyはコードに埋め込まれたロシア語の文字列も特定しました。翻訳された1行には次のように書かれています:「稼働/運用状態に達するまでの時間:(\d+)秒」。
ClearSkyによれば、これらのアーティファクトはロシア語を話す開発者、またはウクライナの標的にマルウェアをローカライズできなかったという運用上の過失を示唆している可能性があります。
翻訳元: https://www.infosecurity-magazine.com/news/badpaw-malware-targets-ukraine/
