MeowMeow Backdoor
サイバーセキュリティ研究者らは、ウクライナの組織を標的としたサイバー攻撃で、これまで記録に残されていなかった「MeowMeow」と呼ばれるマルウェアファミリーを発見しました。この攻撃は、構造化された感染チェーンと、システムを侵害し、持続性を維持するために階層化された欺瞞技術を用いていることを実証しています。
複数の指標に基づき、この攻撃キャンペーンは、ロシア政府が支援する脅威アクターAPT28によるものであると中程度の確度で推定されています。この評価は、攻撃キャンペーンの標的パターン、ルアーに埋め込まれた地政学的テーマ、そして以前のロシアのサイバー攻撃との技術的な類似性に基づいています。
目次
フィッシングの侵入ポイントと初期追跡メカニズム
攻撃の流れは、信憑性があるように巧妙に作成されたフィッシングメールから始まります。メッセージはukr.netに関連付けられたアドレスから送信されており、これはウクライナの受信者の信頼を高めることを意図したものと思われます。
メールには、ZIPアーカイブへのリンクが記載されています。被害者がリンクをクリックしても、ブラウザはすぐにファイルをダウンロードしません。代わりに、トラッキングピクセルとして機能する非常に小さな画像が読み込まれ、攻撃者にリンクが開かれたことを知らせます。この確認手順の後、被害者は別のURLにリダイレクトされ、最終的に悪意のあるZIPアーカイブがダウンロードされます。
偽の政府文書による欺瞞
アーカイブが解凍されると、感染チェーンはHTMLアプリケーション(HTA)ファイルを起動します。HTAは次の2つのアクションを同時に実行します。
- 国境越えの訴えに関連してウクライナ語で書かれたルアー文書を表示します。
- バックグラウンドで追加の悪意のあるプロセスを開始します。
この文書は、国境通過手続きに関する政府の申し立ての受領確認を装う、ソーシャルエンジニアリングの手段として機能しています。この綿密に練られた物語は、悪意ある活動が目に見えないまま継続される一方で、正当性という幻想を強めています。
サンドボックス回避とシステム検証
感染プロセスに進む前に、マルウェアは制御された分析環境で実行されているかどうかを確認するチェックを実行します。
HTAはWindowsレジストリキーHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDateを照会し、オペレーティングシステムのインストール期間を推定します。サンドボックス環境ではよくあることですが、システムのインストールから10日未満の場合、マルウェアは実行を終了します。この手順により、攻撃者は自動マルウェア分析システムによる検出を回避できます。
ペイロードの展開と永続化のメカニズム
システムが環境チェックに合格すると、マルウェアはダウンロードしたZIPアーカイブから追加のコンポーネントを抽出します。VBScriptファイルと隠しコードを含むPNG画像の2つのファイルが取得され、新しいファイル名でディスクに書き込まれます。
永続性は、VBScriptを自動実行するスケジュールタスクを作成することで実現されます。このスクリプトの主な目的は、PNGファイル内に隠された悪意のあるコードを抽出することです。この埋め込まれたペイロードは、BadPawと呼ばれる難読化された.NETローダーであり、リモートコマンドアンドコントロールサーバーとの通信を開始します。
BadPaw LoaderとMeowMeowバックドア
BadPawローダーは、追加のマルウェアモジュールをダウンロードする中間コンポーネントとして機能します。主な目的は、「MeowMeow」という名のバックドア実行ファイルを取得して展開することです。
MeowMeowアプリケーションは、グラフィカルインターフェース内に、特異な注意をそらす機能を備えています。表示されている「MeowMeow」ボタンをクリックすると、プログラムは「Meow Meow Meow」というメッセージを表示するだけで、悪意のある動作は行いません。この動作は、手動検査中にアナリストを誤認させるための二次的なおとりとして機能します。
実際の悪意ある機能は、特定の条件下でのみ実行されます。実行ファイルは、感染チェーン中に特定のパラメータ(-v)を指定して起動する必要があり、分析環境ではなく実際のエンドポイントで実行されていることを確認する必要があります。
分析対策と運用能力
マルウェアはバックドア機能を起動する前に、セキュリティ監視ツールやフォレンジック監視ツールが実行中かどうかを確認します。Wireshark、Procmon、Ollydbg、Fiddlerなどのアプリケーションが検出されると実行が停止され、分析作業がさらに複雑になります。
MeowMeow バックドアがアクティブ化されると、攻撃者は次のようなさまざまな機能を使用できるようになります。
- 侵害されたホスト上での PowerShell コマンドのリモート実行
- ファイルの読み取り、書き込み、削除などのファイルシステムの操作
これらの機能により、攻撃者はデータ収集、横方向の移動、さらなるペイロードの展開などの後続の操作を実行できます。
マルウェアコード内のロシア語アーティファクト
調査中、研究者らはマルウェアのソースコード内に埋め込まれたロシア語の文字列を発見し、ロシア語を話す脅威アクターによるものであるという説を強めました。
これらのアーティファクトの存在は、2つの可能性のいずれかを示唆している可能性があります。攻撃者がウクライナの環境向けにコードをローカライズしなかったことで、運用上のセキュリティ上の見落としを犯した可能性があります。あるいは、これらの文字列は、マルウェアの作成プロセス中に意図せず残された開発アーティファクトである可能性があります。
原因が何であれ、これらの言語的指標は、この攻撃をロシアのサイバー作戦に結び付ける広範な帰属評価に貢献する。
