MeshAgent

تم اختراق أكثر من 100 جهاز كمبيوتر تابع للحكومة المحلية والحكومية الأوكرانية بواسطة برنامج MeshAgent الخبيث في حملة تصيد استغلت الثقة في جهاز الأمن الأوكراني (SBU).

وشمل الهجوم رسائل بريد إلكتروني بدا أنها قادمة من جهاز الأمن الأوكراني، وتحتوي على رابط لتنزيل ملف يحمل عنوان "Documents.zip".

ومع ذلك، يؤدي النقر على الرابط إلى تنزيل ملف Microsoft Software Installer (MSI) بدلاً من ذلك، مثل 'Scan_docs#40562153.msi. يؤدي فتح ملف MSI هذا إلى تثبيت ANONVNC، المعروف أيضًا باسم برنامج MeshAgent الخبيث، مما يسمح للمهاجمين بالوصول السري وغير المصرح به إلى الأنظمة المخترقة.

ربما استغل المهاجمون أداة مفتوحة المصدر

يحتوي برنامج ANONVNC الخبيث، كما حلله باحثون أمنيون، على ملف تكوين يشبه إلى حد كبير ملف أداة MeshAgent البرمجية.

MeshAgent هي في الأساس أداة إدارة عن بُعد مصممة للعمل مع منصة MeshCentral مفتوحة المصدر. وهي تدعم أنظمة تشغيل مختلفة، بما في ذلك Windows وLinux وmacOS وFreeBSD. ورغم أن MeshAgent ليس ضارًا بطبيعته، فقد استغله مجرمو الإنترنت لإنشاء أبواب خلفية على نقاط النهاية المخترقة، مما يتيح الوصول عن بُعد عبر أدوات مثل VNC أو RDP أو SSH.

في الآونة الأخيرة، لاحظ باحثو الأمن زيادة في إساءة استخدام MeshAgent من قبل المهاجمين للحفاظ على الثبات على الأنظمة المخترقة وتنفيذ الأوامر عن بعد.

لماذا قام مجرمو الإنترنت باختراق أداة MeshAgent؟

• اتصال سلس: بعد التثبيت، يقوم MeshCentral تلقائيًا بإنشاء اتصالات مع نقاط النهاية دون الحاجة إلى أي تفاعل من المستخدم.
• الوصول غير المصرح به : يمكن لـ MeshCentral الوصول إلى MeshAgent إما بشكل مباشر أو من خلال بروتوكول سطح المكتب البعيد (RDP)، متجاوزًا الحاجة إلى الحصول على إذن من نقطة النهاية.
• التحكم في النظام : لديه القدرة على إيقاظ أو إعادة تشغيل أو إيقاف تشغيل نقاط النهاية عن بعد.
• الأوامر والتحكم : تعمل MeshCentral كخادم أوامر، مما يسمح لها بتنفيذ أوامر shell ونقل الملفات على نقطة النهاية دون علم المستخدم.
• العمليات غير القابلة للكشف : تعمل الإجراءات التي يقوم بها MeshCentral ضمن حساب NT AUTHORITY\SYSTEM، مما يساعدها على الاندماج مع العمليات الخلفية العادية.
• تجزئات الملفات الفريدة : يتم إنشاء كل مثيل من MeshAgent بشكل فريد، مما يجعل من الصعب اكتشافه من خلال تجزئات الملفات وحدها.
• التصيد الاحتيالي والتهرب من جدار الحماية : ينشر المهاجمون بشكل متكرر MeshAgent عبر رسائل البريد الإلكتروني التصيدية. ويؤدي استخدام المنافذ الشائعة مثل 80 و443 للاتصال إلى زيادة فرص التهرب من الكشف بواسطة جدران الحماية.

خبراء يحذرون من احتمال شن حملة تهديدية أكبر

يعتقد الباحثون أن هذه الحملة الأخيرة بدأت في يوليو 2024 وقد تمتد إلى ما هو أبعد من حدود أوكرانيا. كشف تحليل خدمة تخزين الملفات pCloud عن أكثر من ألف ملف EXE وMSI تم تحميلها منذ الأول من أغسطس، وقد يكون بعضها مرتبطًا بهذه الحملة الأوسع نطاقًا.

في السادس من أغسطس/آب، شنت أوكرانيا هجوماً مفاجئاً في منطقة كورسك. وللمرة الأولى، أكد قائد عسكري كبير علناً أن قوات كييف تسيطر الآن على أكثر من ألف كيلومتر مربع (حوالي 386 ميلاً مربعاً) من الأراضي الروسية.

وقد تزامنت حملة التصيد الأخيرة، التي استخدمت فيها البرمجيات الخبيثة في اختراق أنظمة الكمبيوتر الحكومية، مع هذا الهجوم الأوكراني الكبير. ومع ذلك، لم تنسب كييف هذه الهجمات المستهدفة بشكل مباشر إلى روسيا أو عملياتها السيبرانية. وبدلاً من ذلك، تم ربط الحملة بجهة تهديد تم تحديدها باسم UAC-0198.

في السابق، استخدم القراصنة الروس تكتيكات مماثلة، مستغلين برامج المراقبة والإدارة عن بعد المشروعة للتجسس على أوكرانيا وحلفائها. لقد أخفوا البرامج الخبيثة اللازمة لتنزيل وتنفيذ برنامج المراقبة والإدارة عن بعد داخل الكود المشروع للغة بايثون للعبة "كاسحة الألغام" من مايكروسوفت.