详细内容或原文请订阅后点击阅览
俄罗斯 APT 通过 BadPaw 和 MeowMeow 恶意软件瞄准乌克兰
研究人员发现了一项针对乌克兰实体的俄罗斯活动,其中包含通过网络钓鱼电子邮件传播的新恶意软件系列 BadPaw 和 MeowMeow。研究人员报告了一次与俄罗斯有关的网络钓鱼活动,该活动使用两个新的恶意软件家族 BadPaw 和 MeowMeow 来针对乌克兰组织。攻击链始于一封带有 ZIP 存档链接的网络钓鱼电子邮件。当 [...]
来源:Security Affairs _恶意软件俄罗斯 APT 通过 BadPaw 和 MeowMeow 恶意软件瞄准乌克兰
研究人员发现了一项针对乌克兰实体的俄罗斯活动,其中包含通过网络钓鱼电子邮件传播的新恶意软件系列 BadPaw 和 MeowMeow。
研究人员报告了一次与俄罗斯有关的网络钓鱼活动,该活动使用两个新的恶意软件系列 BadPaw 和 MeowMeow 以乌克兰组织为目标。攻击链始于一封带有 ZIP 存档链接的网络钓鱼电子邮件。打开后,HTA 文件会显示有关过境上诉的乌克兰语诱惑,同时秘密启动感染链。
“攻击链以一封包含 ZIP 存档链接的网络钓鱼电子邮件开始。提取后,初始 HTA 文件会显示一份用乌克兰语编写的诱饵文档,涉及越境上诉,以欺骗受害者。”阅读 ClearSky 发布的报告。 “同时,感染会触发基于 .NET 的加载程序 BadPaw 的下载。在建立命令和控制 (C2) 通信后,加载程序会部署 MeowMeow,这是一个复杂的后门。”
研究人员发现,这两种恶意软件均使用 .NET Reactor 加壳器,使分析和逆向工程变得更加困难,这表明攻击者意图逃避检测并保持长期持久性。
“BadPaw 采用的额外防御层是使用 .NET Reactor,这是一种针对 .NET 程序集的商业保护和混淆工具。该加壳程序会混淆底层代码,以阻碍静态分析和逆向工程。”报告继续。
该恶意软件还包含多种防御机制。除非使用特定参数启动,否则其组件保持不活动状态,否则显示良性界面并执行无害代码。
MeowMeow后门增加了环境检查、虚拟机扫描系统以及Wireshark、ProcMon和Fiddler等分析工具。如果它检测到沙箱或研究环境,它会立即停止执行以避免调查。
皮尔路易吉·帕格尼尼