MiaouMiaou Porte dérobée
Des chercheurs en cybersécurité ont découvert une famille de logiciels malveillants jusqu'alors inconnue, nommée MeowMeow, utilisée lors d'une campagne de cyberattaques ciblant des organisations ukrainiennes. L'opération révèle une chaîne d'infection structurée et le recours à des techniques de tromperie multicouches pour compromettre les systèmes et assurer leur persistance.
Sur la base de plusieurs indicateurs, la campagne a été attribuée avec un degré de certitude modéré au groupe de cybermenaces APT28, soutenu par l'État russe. Cette évaluation repose sur les modes de ciblage de la campagne, les thèmes géopolitiques sous-jacents aux leurres et les similitudes techniques avec des cyberopérations russes antérieures.
Table des matières
Point d’entrée du phishing et mécanisme de suivi initial
L'attaque débute par un courriel d'hameçonnage soigneusement conçu pour paraître crédible. Le message est envoyé depuis une adresse associée à ukr.net, une tactique probablement destinée à renforcer la confiance des destinataires ukrainiens.
Le courriel contient un lien censé mener à une archive ZIP. Lorsque la victime clique sur ce lien, le navigateur ne télécharge pas immédiatement le fichier. Au lieu de cela, il charge une image minuscule faisant office de pixel espion, signalant aux attaquants que le lien a été ouvert. Après cette étape de confirmation, la victime est redirigée vers une autre URL où l'archive ZIP malveillante est finalement téléchargée.
Tromperie au moyen d’un document gouvernemental leurre
Une fois l'archive extraite, la chaîne d'infection lance un fichier d'application HTML (HTA). Ce fichier HTA effectue simultanément deux actions :
- Affiche un document d'appât rédigé en ukrainien concernant les appels relatifs au franchissement illégal de la frontière.
- Lance des processus malveillants supplémentaires en arrière-plan.
Ce document agit comme un outil de manipulation sociale en présentant ce qui semble être une confirmation de réception d'un recours gouvernemental concernant les procédures de passage de frontière. Ce récit soigneusement élaboré renforce l'illusion de légitimité tandis que des activités malveillantes se poursuivent en toute discrétion.
Évasion du bac à sable et validation du système
Avant de procéder à l'infection, le logiciel malveillant effectue des vérifications pour déterminer s'il s'exécute dans un environnement d'analyse contrôlé.
Le HTA interroge la clé de registre Windows HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate pour estimer la durée d'installation du système d'exploitation. Si le système a moins de dix jours, caractéristique fréquente des environnements sandbox, le logiciel malveillant interrompt son exécution. Cette étape permet aux attaquants d'échapper à la détection par les systèmes d'analyse automatisée de logiciels malveillants.
Mécanismes de déploiement et de persistance de la charge utile
Si le système réussit les vérifications environnementales, le logiciel malveillant extrait des composants supplémentaires de l'archive ZIP téléchargée. Deux fichiers sont récupérés : un fichier VBScript et une image PNG contenant du code caché. Ces fichiers sont enregistrés sur le disque sous de nouveaux noms.
La persistance est assurée par la création d'une tâche planifiée qui exécute automatiquement le script VBScript. Ce script a pour principal objectif d'extraire le code malveillant dissimulé dans le fichier PNG. Cette charge utile intégrée est un chargeur .NET obfusqué, appelé BadPaw, qui initie ensuite une communication avec un serveur de commande et de contrôle distant.
Chargeur BadPaw et la porte dérobée MeowMeow
Le chargeur BadPaw sert de composant intermédiaire chargé de télécharger des modules malveillants supplémentaires. Son objectif principal est de récupérer et de déployer un exécutable de porte dérobée nommé MeowMeow.
L'application MeowMeow intègre une fonctionnalité de diversion inhabituelle dans son interface graphique. Lorsqu'on clique sur le bouton « MeowMeow », le programme affiche simplement le message « Miaou Miaou Miaou », sans effectuer aucune action malveillante. Ce comportement sert de leurre secondaire destiné à induire en erreur les analystes lors d'une inspection manuelle.
La fonctionnalité malveillante proprement dite n'est déclenchée que sous certaines conditions. Le fichier exécutable doit être lancé avec un paramètre particulier (-v) fourni lors de la chaîne d'infection, et il doit confirmer qu'il s'exécute sur un terminal réel et non dans un environnement d'analyse.
Protections anti-analyse et capacités opérationnelles
Avant d'activer ses fonctionnalités de porte dérobée, le logiciel malveillant vérifie si des outils de sécurité ou d'analyse forensique sont en cours d'exécution. Son exécution est interrompue si des applications telles que Wireshark, Procmon, Ollydbg ou Fiddler sont détectées, ce qui complique davantage l'analyse.
Une fois activée, la porte dérobée MeowMeow offre aux attaquants plusieurs possibilités :
- Exécution à distance de commandes PowerShell sur l'hôte compromis
- Manipulation du système de fichiers, y compris la lecture, l'écriture et la suppression de fichiers
Ces fonctions permettent aux attaquants d'effectuer des opérations complémentaires telles que la collecte de données, le déplacement latéral ou le déploiement de charges utiles supplémentaires.
Artefacts en langue russe dans le code du logiciel malveillant
Au cours de leur enquête, les chercheurs ont découvert des chaînes de caractères en russe intégrées au code source du logiciel malveillant, renforçant ainsi l'attribution à un acteur malveillant russophone.
La présence de ces artefacts peut indiquer deux possibilités. Soit les attaquants ont commis une erreur de sécurité opérationnelle en omettant de localiser le code pour l'environnement ukrainien, soit ces chaînes de caractères représentent des traces de développement laissées involontairement lors de la création du logiciel malveillant.
Quelle qu’en soit la cause, ces indicateurs linguistiques contribuent à une évaluation plus large de l’attribution, reliant la campagne aux cyberopérations russes.
