كشف باحثون في الأمن السيبراني عن تفاصيل حملة جديدة مرتبطة بمجموعة APT28 الروسية، استهدفت كيانات أوكرانية عبر برمجيات خبيثة غير موثقة سابقاً تحمل أسماء BadPaw وMeowMeow. تبدأ سلسلة الهجوم برسالة تصيد إلكتروني مرسلة من نطاق ukr[.]net، تتضمن رابطاً لملف مضغوط (ZIP). عند فتح الملف، يتم تشغيل تطبيق HTML (HTA) يعرض وثيقة وهمية باللغة الأوكرانية حول طلبات عبور الحدود، في محاولة لخداع الضحية وإضفاء الشرعية على المحتوى.
دور BadPaw في الهجوم
الملف التنفيذي HTA يقوم بإنشاء مهام مجدولة لضمان استمرار العدوى، ويستخرج ملفات إضافية من الأرشيف، منها صورة PNG تحتوي على كود خبيث مخفي. هذا الكود يمثل محمل (Loader) يُعرف باسم BadPaw، وهو مكتوب بلغة .NET، ويعمل على الاتصال بخادم تحكم وسيطرة (C2) لتنزيل مكونات إضافية، أبرزها الباب الخلفي MeowMeow. الملف يتضمن آليات للتحقق من بيئة التشغيل، مثل فحص سجل النظام لتحديد عمر تثبيت ويندوز، والتوقف عن التنفيذ إذا كان النظام حديث التثبيت، وذلك لتجنب بيئات التحليل الأمنية.
خصائص الباب الخلفي MeowMeow
البرمجية الخلفية MeowMeow لا تُظهر نشاطها إلا عند تشغيلها بمعامل محدد (“-v”) ضمن سلسلة العدوى الأصلية. وهي مجهزة لتنفيذ أوامر PowerShell عن بُعد، وإجراء عمليات على نظام الملفات مثل القراءة والكتابة والحذف. كما أنها تتحقق من غياب أدوات المراقبة والتحليل مثل Wireshark وProcmon وOllydbg قبل تفعيل وظائفها الخبيثة. الملف يحتوي على سلاسل نصية باللغة الروسية، ما يعزز فرضية أن مطوريه ناطقون بالروسية، وربما ارتكبوا خطأً في الأمن التشغيلي (OPSEC) بترك هذه الآثار داخل الكود.
تقنيات التضليل والتمويه
من اللافت أن BadPaw يتضمن آلية تضليلية عند تشغيله بشكل مستقل، حيث يعرض واجهة رسومية تحتوي على صورة قطة وزر باسم “MeowMeow”. عند الضغط على الزر، يظهر فقط نص “Meow Meow Meow” دون أي نشاط خبيث، وذلك لخداع المحللين الأمنيين وإيهامهم بأن الملف غير ضار. هذه الاستراتيجية تعكس مستوى متقدم من الحرفية في تصميم البرمجيات الخبيثة، حيث يتم المزج بين عناصر اجتماعية (وثائق رسمية مزيفة) وتقنيات تقنية (إخفاء الكود داخل الصور، التحقق من بيئة التشغيل، التضليل البصري).
