«Русских хакеров» обвинили в многоступенчатой кибератаке против украинских пользователей

Специалисты по кибербезопасности выявили новую вредоносную операцию, получившую имя BadPaw. Кампания направлена против пользователей на Украине и использует сложную цепочку заражения, маскировку под обычные документы и несколько уровней защиты от анализа. Эксперты считают, что русскоязычные хакеры стараются действовать незаметно и проверяют, взаимодействует ли пользователь с вредоносной ссылкой, прежде чем передать основной файл.

Обнаружение операции стало результатом анализа команды ClearSky. Специалисты сообщили, что вредоносная программа распространяется через электронные письма, отправленные с адресов, размещённых на сервисе Ukr.net. Этот почтовый провайдер хорошо известен в регионе и поэтому выглядит для пользователей привычно. По данным аналитиков, в прошлые годы похожие адреса уже использовались участниками группы APT28.

Сама атака разворачивается поэтапно и выглядит как обычная переписка. Получателю приходит письмо со ссылкой на якобы архивный файл. После нажатия пользователь не получает загрузку сразу.

Сначала открывается промежуточная страница, где загружается невидимый пиксель отслеживания. Такой элемент позволяет злоумышленникам убедиться, что письмо действительно открыли и перешли по ссылке.

После этого происходит новое перенаправление. Только на втором этапе система начинает скачивать ZIP-архив. Снаружи он выглядит как стандартный HTML-документ. Исследование специалистов ClearSky показало, что внутри находится замаскированное приложение формата HTA. После запуска на экране появляется поддельный документ, стилизованный под официальное обращение украинских властей по теме пересечения границы. Пока пользователь читает текст, вредоносные процессы уже работают в системе.

Перед дальнейшими действиями программа проверяет параметры операционной системы. Вредоносный код обращается к реестру Windows и определяет дату установки системы. Если выясняется, что системе меньше 10 дней, выполнение прекращается. По словам аналитиков ClearSky, подобная проверка помогает обойти виртуальные лаборатории, которые специалисты безопасности используют для анализа вредоносных программ.

Если проверка проходит успешно, начинается следующий этап операции. Программа устанавливает связь с сервером управления, известным как C2. Процесс связи состоит из нескольких шагов:

• Получение числового ответа по адресу /getcalendar.
• Открытие страницы с надписью «Телеметрия включена!» по адресу /eventmanager.
• Получение полезной нагрузки, закодированной в ASCII и встроенной в HTML-страницу.

После расшифровки загруженных данных система разворачивает бэкдор с необычным именем MeowMeowProgram[.]exe. Этот компонент предоставляет злоумышленникам удалённый доступ к командной оболочке и файловой системе заражённого компьютера.

Разработчики вредоносной программы постарались усложнить её анализ. Бэкдор использует несколько уровней защиты. Среди них требование специальных параметров запуска, скрытие кода с помощью технологии .NET Reactor, а также проверка среды выполнения. Программа отслеживает наличие инструментов анализа, которыми пользуются эксперты безопасности. В числе таких инструментов упоминаются Wireshark, Process Monitor, OllyDbg и Fiddler.

Если вредоносный код запускается неправильно или обнаруживает подозрительную среду, пользователь видит безобидное окно программы с изображением кота. Интерфейс содержит кнопку «Мяу-мяу», нажатие которой вызывает лишь простое сообщение. Такой трюк помогает скрыть истинное назначение программы.