MeshAgent

Над 100 украински държавни и местни правителствени компютри са били компрометирани от зловреден софтуер MeshAgent във фишинг кампания, която използва доверието в Службата за сигурност на Украйна (SBU).

Атаката включва имейли, които изглежда идват от SBU, съдържащи връзка за изтегляне на файл с етикет „Documents.zip“.

Щракването върху връзката обаче вместо това изтегля файл на Microsoft Software Installer (MSI), като например „Scan_docs#40562153.msi“. Отварянето на този MSI файл задейства инсталирането на ANONVNC, известен също като зловреден софтуер MeshAgent, което потенциално позволява на нападателите скрит и неоторизиран достъп до компрометираните системи.

Нападателите може да са използвали инструмент с отворен код

Зловреден софтуер ANONVNC, както е анализиран от изследователи по сигурността, включва конфигурационен файл, който много наподобява този на софтуерния инструмент MeshAgent.

MeshAgent е основно инструмент за дистанционно управление, предназначен да работи с платформата с отворен код MeshCentral. Той поддържа различни операционни системи, включително Windows, Linux, macOS и FreeBSD. Въпреки че самият MeshAgent не е присъщо злонамерен, киберпрестъпниците го експлоатират, за да създават задни врати на компрометирани крайни точки, позволявайки отдалечен достъп чрез инструменти като VNC, RDP или SSH.

Напоследък изследователите по сигурността наблюдават увеличаване на злоупотребата с MeshAgent от нападатели за поддържане на устойчивост на компрометирани системи и изпълнение на отдалечени команди.

Защо киберпрестъпниците са отвлекли инструмента MeshAgent?

• Безпроблемна връзка: След инсталирането MeshCentral автоматично установява връзки с крайни точки, без да е необходимо взаимодействие с потребителя.
• Неоторизиран достъп : MeshCentral може да осъществява достъп до MeshAgent или директно, или чрез протокол за отдалечен работен плот (RDP), заобикаляйки необходимостта от разрешение от крайната точка.
• Системен контрол : Има способността да събужда, рестартира или изключва крайни точки дистанционно.
• Командване и контрол : MeshCentral функционира като команден сървър, което му позволява да изпълнява команди на shell и да прехвърля файлове на крайната точка без знанието на потребителя.
• Неоткриваеми операции : Действията, извършвани от MeshCentral, работят под акаунта NT AUTHORITY\SYSTEM, което им помага да се слеят с нормалните фонови процеси.
• Уникални файлови хешове : Всеки екземпляр на MeshAgent е уникално генериран, което затруднява откриването само чрез файлови хешове.

Експерти предупреждават за възможността от по-голяма заплашителна кампания

Изследователите смятат, че тази последна кампания е започнала през юли 2024 г. и може да се разпростре извън границите на Украйна. Анализът на услугата за съхранение на файлове pCloud разкри над хиляда EXE и MSI файла, качени от 1 август, някои от които може да са свързани с тази по-широка кампания.

На 6 август Украйна предприе внезапна атака в района на Курск. За първи път висш военен командир публично потвърди, че силите на Киев вече контролират над 1000 квадратни километра (около 386 квадратни мили) руска територия.

Неотдавнашната фишинг кампания, която внедри заден злонамерен софтуер в правителствени компютърни системи, съвпадна с тази значителна украинска офанзива. Киев обаче не е приписал пряко тези целенасочени атаки на Русия или нейните кибер операции. Вместо това кампанията е свързана със заплаха, идентифицирана като UAC-0198.

Преди това руските хакери са използвали подобна тактика, използвайки легитимен софтуер за дистанционно наблюдение и управление (RMM), за да шпионират Украйна и нейните съюзници. Те скриха злонамерени скриптове, необходими за изтегляне и изпълнение на софтуера RMM в легитимния Python код на играта „Minesweeper“ на Microsoft.