🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética divulgaram detalhes de uma nova campanha cibernética russa que tem como alvo entidades ucranianas com duas famílias de malware anteriormente não documentadas chamadas BadPaw e MeowMeow.
“A cadeia de ataque começa com um e-mail de phishing contendo um link para um arquivo ZIP. Uma vez extraído, um arquivo HTA inicial exibe um documento de isca escrito em ucraniano sobre apelos de passagem de fronteira para enganar a vítima”, disse ClearSky em um relatório publicado esta semana.
Paralelamente, a cadeia de ataque leva à implantação de um carregador baseado em .NET chamado BadPaw, que então estabelece comunicação com um servidor remoto para buscar e implantar um backdoor sofisticado chamado MeowMeow.
A campanha foi atribuída com confiança moderada ao ator de ameaça patrocinado pelo Estado russo conhecido como APT28, com base na pegada de segmentação, na natureza geopolítica das iscas utilizadas e nas sobreposições com técnicas observadas em operações cibernéticas russas anteriores.
O ponto de partida da sequência de ataque é um e-mail de phishing enviado de ukr[.]net, provavelmente numa tentativa de estabelecer credibilidade e garantir a confiança das vítimas visadas. Presente na mensagem está um link para um suposto arquivo ZIP, fazendo com que o usuário seja redirecionado para uma URL que carrega uma “imagem excepcionalmente pequena”, agindo efetivamente como um pixel de rastreamento para sinalizar aos operadores que o link foi clicado.
Assim que esta etapa for concluída, a vítima é redirecionada para um URL secundário de onde o arquivo é baixado. O arquivo ZIP inclui um aplicativo HTML (HTA) que, uma vez iniciado, descarta um documento chamariz como mecanismo de distração, enquanto executa etapas subsequentes em segundo plano.
“O documento-isca descartado serve como uma tática de engenharia social, apresentando uma confirmação de recebimento de um apelo do governo relativo à passagem da fronteira ucraniana”, disse ClearSky. "Essa isca tem como objetivo manter o verniz de legitimidade."
O arquivo HTA também realiza verificações para evitar a execução em ambientes sandbox. Isso é feito consultando a chave de registro do Windows "KLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate" para estimar a "idade" do sistema operacional. O malware foi projetado para abortar a execução se o sistema tiver sido instalado há menos de dez dias.
Se o sistema atender aos critérios ambientais, o malware localiza o arquivo ZIP baixado e extrai dois arquivos dele – um script Visual Basic (VBScript) e uma imagem PNG – e os salva no disco com nomes diferentes. Também cria uma tarefa agendada para executar o VBScript como forma de garantir a persistência do sistema infectado.
A principal responsabilidade do VBScript é extrair código malicioso incorporado na imagem PNG, um carregador ofuscado conhecido como BadPaw que é capaz de entrar em contato com um servidor de comando e controle (C2) para baixar componentes adicionais, incluindo um executável chamado MeowMeow.
“Consistente com a técnica ‘BadPaw’, se este arquivo for executado independentemente de toda a cadeia de ataque, ele iniciará uma sequência de código fictícia”, explicou a empresa israelense de segurança cibernética. “Esta execução falsa exibe uma interface gráfica de usuário (GUI) com a imagem de um gato, alinhando-se com o tema visual do arquivo de imagem inicial do qual o malware primário foi extraído.”
"Quando o botão 'MeowMeow' na GUI do chamariz é clicado, o aplicativo simplesmente exibe uma mensagem 'Meow Meow Meow', não executando mais ações maliciosas. Isso serve como um chamariz funcional secundário para enganar a análise manual."
O código malicioso do backdoor é ativado apenas quando é executado com um determinado parâmetro ("-v") fornecido pela cadeia de infecção inicial e depois de verificar se está sendo executado em um endpoint real, em oposição a uma sandbox, e se nenhuma ferramenta forense e de monitoramento como Wireshark, Procmon, Ollydbg e Fiddler estão sendo executadas em segundo plano.
Basicamente, o MeowMeow está equipado para executar remotamente comandos do PowerShell no host comprometido e oferecer suporte a operações do sistema de arquivos, como a capacidade de ler, gravar e excluir dados. A ClearSky disse que identificou strings do idioma russo no código-fonte, reforçando a avaliação de que a atividade é obra de um ator de ameaça que fala russo.
“A presença dessas strings em russo sugere duas possibilidades: o ator da ameaça cometeu um erro de segurança operacional (OPSEC) ao não localizar o código para o ambiente alvo ucraniano, ou inadvertidamente deixou artefatos de desenvolvimento russos dentro do código durante a fase de produção do malware”, afirmou.
“A cadeia de ataque começa com um e-mail de phishing contendo um link para um arquivo ZIP. Uma vez extraído, um arquivo HTA inicial exibe um documento de isca escrito em ucraniano sobre apelos de passagem de fronteira para enganar a vítima”, disse ClearSky em um relatório publicado esta semana.
Paralelamente, a cadeia de ataque leva à implantação de um carregador baseado em .NET chamado BadPaw, que então estabelece comunicação com um servidor remoto para buscar e implantar um backdoor sofisticado chamado MeowMeow.
A campanha foi atribuída com confiança moderada ao ator de ameaça patrocinado pelo Estado russo conhecido como APT28, com base na pegada de segmentação, na natureza geopolítica das iscas utilizadas e nas sobreposições com técnicas observadas em operações cibernéticas russas anteriores.
O ponto de partida da sequência de ataque é um e-mail de phishing enviado de ukr[.]net, provavelmente numa tentativa de estabelecer credibilidade e garantir a confiança das vítimas visadas. Presente na mensagem está um link para um suposto arquivo ZIP, fazendo com que o usuário seja redirecionado para uma URL que carrega uma “imagem excepcionalmente pequena”, agindo efetivamente como um pixel de rastreamento para sinalizar aos operadores que o link foi clicado.
Assim que esta etapa for concluída, a vítima é redirecionada para um URL secundário de onde o arquivo é baixado. O arquivo ZIP inclui um aplicativo HTML (HTA) que, uma vez iniciado, descarta um documento chamariz como mecanismo de distração, enquanto executa etapas subsequentes em segundo plano.
“O documento-isca descartado serve como uma tática de engenharia social, apresentando uma confirmação de recebimento de um apelo do governo relativo à passagem da fronteira ucraniana”, disse ClearSky. "Essa isca tem como objetivo manter o verniz de legitimidade."
O arquivo HTA também realiza verificações para evitar a execução em ambientes sandbox. Isso é feito consultando a chave de registro do Windows "KLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate" para estimar a "idade" do sistema operacional. O malware foi projetado para abortar a execução se o sistema tiver sido instalado há menos de dez dias.
Se o sistema atender aos critérios ambientais, o malware localiza o arquivo ZIP baixado e extrai dois arquivos dele – um script Visual Basic (VBScript) e uma imagem PNG – e os salva no disco com nomes diferentes. Também cria uma tarefa agendada para executar o VBScript como forma de garantir a persistência do sistema infectado.
A principal responsabilidade do VBScript é extrair código malicioso incorporado na imagem PNG, um carregador ofuscado conhecido como BadPaw que é capaz de entrar em contato com um servidor de comando e controle (C2) para baixar componentes adicionais, incluindo um executável chamado MeowMeow.
“Consistente com a técnica ‘BadPaw’, se este arquivo for executado independentemente de toda a cadeia de ataque, ele iniciará uma sequência de código fictícia”, explicou a empresa israelense de segurança cibernética. “Esta execução falsa exibe uma interface gráfica de usuário (GUI) com a imagem de um gato, alinhando-se com o tema visual do arquivo de imagem inicial do qual o malware primário foi extraído.”
"Quando o botão 'MeowMeow' na GUI do chamariz é clicado, o aplicativo simplesmente exibe uma mensagem 'Meow Meow Meow', não executando mais ações maliciosas. Isso serve como um chamariz funcional secundário para enganar a análise manual."
O código malicioso do backdoor é ativado apenas quando é executado com um determinado parâmetro ("-v") fornecido pela cadeia de infecção inicial e depois de verificar se está sendo executado em um endpoint real, em oposição a uma sandbox, e se nenhuma ferramenta forense e de monitoramento como Wireshark, Procmon, Ollydbg e Fiddler estão sendo executadas em segundo plano.
Basicamente, o MeowMeow está equipado para executar remotamente comandos do PowerShell no host comprometido e oferecer suporte a operações do sistema de arquivos, como a capacidade de ler, gravar e excluir dados. A ClearSky disse que identificou strings do idioma russo no código-fonte, reforçando a avaliação de que a atividade é obra de um ator de ameaça que fala russo.
“A presença dessas strings em russo sugere duas possibilidades: o ator da ameaça cometeu um erro de segurança operacional (OPSEC) ao não localizar o código para o ambiente alvo ucraniano, ou inadvertidamente deixou artefatos de desenvolvimento russos dentro do código durante a fase de produção do malware”, afirmou.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #campanha #vinculada #ao #apt28 #implanta #badpaw #loader #e #meowmeow #backdoor #na #ucrânia
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário