Russische Cyber-Angreifer haben eine neue Kampagne gegen ukrainische Ziele gestartet, die zwei bislang unbekannte Malware-Familien namens BadPaw und MeowMeow einsetzt. Die Attacke wird dem staatlichen Akteur APT28 zugeordnet.
Sicherheitsexperten haben Details einer neuen russischen Cyber-Kampagne offengelegt, die ukrainische Organisationen mit zwei neuartigen Malware-Familien unter den Namen BadPaw und MeowMeow ins Visier genommen hat. Das israelische Cybersicherheitsunternehmen ClearSky dokumentierte die komplexe Angriffskette in einem aktuellen Bericht.
Die Attacke beginnt mit einer Phishing-E-Mail, die einen Link zu einem ZIP-Archiv enthält. Nach dem Entpacken öffnet sich eine HTA-Datei, die ein auf Ukrainisch verfasstes Köder-Dokument anzeigt – ein Schreiben über Grenzübertrittanträge, das Nutzer täuschen soll. Parallel dazu wird der .NET-basierte Loader BadPaw installiert, der sich mit einem Remote-Server verbindet, um die ausgefeilte Backdoor MeowMeow herunterzuladen.
Die Kampagne wird mit hoher Wahrscheinlichkeit dem russischen Staat zuzuordnenden APT28 zugeschrieben – basierend auf dem Zielspektrum, der geopolitischen Natur der Köder und technischen Übereinstimmungen mit früheren russischen Cyber-Operationen.
Der Angriff startet mit einer E-Mail von der Adresse ukr[.]net, offensichtlich um Glaubwürdigkeit zu schaffen. Die Nachricht enthält einen Link zu einer vermeintlichen ZIP-Datei, der die Opfer zunächst auf eine URL mit einem Tracking-Pixel leitet – um den Angreifern zu signalisieren, dass der Link angeklickt wurde. Danach erfolgt eine Weiterleitung zu einer zweiten URL, von der das Archiv heruntergeladen wird.
Die HTA-Datei führt Umgebungschecks durch, um die Ausführung in Sandbox-Systemen zu vermeiden. Dazu werden Windows-Registrierungsschlüssel abgefragt, um das Alter des Betriebssystems zu bestimmen – die Malware bricht ab, wenn das System weniger als zehn Tage alt ist.
Bei Erfüllung der Kriterien extrahiert die Datei zwei Komponenten aus dem ZIP-Archiv: ein VBScript und eine PNG-Bilddatei. Eine geplante Windows-Task gewährleistet die Persistenz auf dem System. Das VBScript extrahiert anschließend den obfuszierten BadPaw-Loader aus dem PNG-Bild, der mit einem Command-and-Control-Server kommuniziert und weitere Komponenten wie die Backdoor MeowMeow herunterlädt.
Zum Schutz vor Analyse enthält BadPaw eine Ablenkungsfunktion: Wird die Datei unabhängig von der vollständigen Angriffskette ausgeführt, zeigt sich eine GUI mit einem Katzenbild. Ein Klick auf den Button “MeowMeow” gibt nur die Nachricht “Meow Meow Meow” aus – eine sekundäre Täuschung zur Irreführung manueller Analysen.
Die eigentliche Malware-Funktionalität aktiviert sich nur mit einem bestimmten Parameter ("-v") aus der Infektionskette und nach Verifikation, dass das System kein Sandkasten-Umfeld ist und keine Forensik- oder Monitoring-Tools wie Wireshark, Procmon, Ollydbg oder Fiddler aktiv sind.
MeowMeow ist in der Lage, PowerShell-Befehle ferngesteuert auszuführen und Dateisystem-Operationen durchzuführen. ClearSky entdeckte russischsprachige Codezeichenketten im Quellcode – ein starkes Indiz für einen russischsprachigen Angreifer. Dies deutet entweder auf einen OPSEC-Fehler hin oder darauf, dass der Entwickler versehentlich russische Artefakte im Code hinterlassen hat.
Quelle: The Hacker News