Исследования в области кибербезопасности показали, что новые малвари BadPaw и MeowMeow стали частью атаки, связанной с российской группировкой APT28. Целью кампании были украинские организации, и схема атаки начинается с фишингового письма, содержащее ссылку на ZIP-архив.
По данным компании ClearSky, фишинг нацелен на использование доверия, так как первое сообщение отправляется с домена ukr[.]net, что должно убедить жертв в его легитимности. После клика по ссылке, жертва перенаправляется на URL, который загружает «крохотное изображение», использующееся как трекер для злоумышленников.
Содержимое загружаемого ZIP-файла запускает HTA-файл, который демонстрирует документ-ловушку о пересечении границы, отвлекая внимание жертвы, в то время как на самом деле происходит запуск вредоносного кода. Этот код защищён от детектирования, так как проверяет, находится ли он в песочнице, а также если система свежая — запущена менее 10 дней назад.
Если условия подходят, программа извлекает два файла и создаёт запланированную задачу для выполнения вредоносного скрипта. Основная функция VBScript заключается в извлечении кода BadPaw из PNG-изображения, что позволяет установить связь с сервером управления, где загружается более сложный бекдор MeowMeow.
Важно отметить, что данный бекдор предназначен для работы только при соблюдении определенных параметров, что усложняет его анализ. Если исполнять его вне первоначальной порции, он просто вызывает безвредную графику с кошкой, чтобы сбить с толку злоумышленников.
Что значит эта информация для большинства из нас? Чёткий сигнал о том, что киберугрозы активно эволюционируют, и важно следить за своим информационным пространством, особенно если вы работаете с повышенной конфиденциальностью данных.
Следующим шагом для организаций в Украине будет усиление мер по киберзащите и обучение сотрудников о вредоносных атаках, не позволяя хакерам оказаться в пределах досягаемости.