MeshAgent

Més de 100 ordinadors del govern local i estatal d'Ucraïna han estat compromesos pel programari maliciós MeshAgent en una campanya de pesca que va aprofitar la confiança en el Servei de Seguretat d'Ucraïna (SBU).

L'atac va implicar correus electrònics que semblaven provenir de la SBU, que contenien un enllaç per descarregar un fitxer amb l'etiqueta "Documents.zip".

Tanmateix, en fer clic a l'enllaç, s'ha baixat un fitxer d'instal·lador de programari de Microsoft (MSI), com ara "Scan_docs#40562153.msi". L'obertura d'aquest fitxer MSI va activar la instal·lació d'ANONVNC, també conegut com a programari maliciós MeshAgent, que podria permetre als atacants l'accés encobert i no autoritzat als sistemes compromesos.

Els atacants poden haver explotat una eina de codi obert

El programari maliciós ANONVNC, analitzat pels investigadors de seguretat, inclou un fitxer de configuració que s'assembla molt al de l'eina de programari MeshAgent.

MeshAgent és principalment una eina de gestió remota dissenyada per funcionar amb la plataforma de codi obert MeshCentral. Admet diversos sistemes operatius, inclosos Windows, Linux, macOS i FreeBSD. Tot i que MeshAgent no és inherentment maliciós, els cibercriminals l'han estat explotant per crear portes posteriors en punts finals compromesos, permetent l'accés remot mitjançant eines com VNC, RDP o SSH.

Recentment, els investigadors de seguretat han observat un augment de l'ús indegut de MeshAgent per part dels atacants per mantenir la persistència en sistemes compromesos i executar ordres remotes.

Per què els cibercriminals van segrestar l'eina MeshAgent?

• Connexió perfecta: després de la instal·lació, MeshCentral estableix automàticament connexions amb punts finals sense necessitat de cap interacció de l'usuari.
• Accés no autoritzat : MeshCentral pot accedir a MeshAgent directament o mitjançant el protocol d'escriptori remot (RDP), evitant la necessitat de permís del punt final.
• Control del sistema : té la capacitat de despertar, reiniciar o tancar els punts finals de forma remota.
• Comandament i control : MeshCentral funciona com un servidor d'ordres, la qual cosa li permet executar ordres de l'intèrpret d'ordres i transferir fitxers al punt final sense que l'usuari s'adoni.
• Operacions indetectables : les accions realitzades per MeshCentral funcionen amb el compte NT AUTHORITY\SYSTEM, que els ajuda a integrar-se amb els processos normals en segon pla.
• Hash de fitxers únics : cada instància de MeshAgent es genera de manera única, cosa que dificulta la seva detecció només mitjançant hash de fitxers.

Els experts alerten sobre la possibilitat d'una campanya amenaçadora més gran

Els investigadors creuen que aquesta darrera campanya va començar el juliol del 2024 i podria estendre's més enllà de les fronteres d'Ucraïna. L'anàlisi del servei d'emmagatzematge de fitxers pCloud ha descobert més de mil fitxers EXE i MSI carregats des de l'1 d'agost, alguns dels quals poden estar associats a aquesta campanya més àmplia.

El 6 d'agost, Ucraïna va llançar un atac sorpresa a la regió de Kursk. Per primera vegada, un alt comandant militar va confirmar públicament que les forces de Kíev ara controlen més de 1.000 quilòmetres quadrats (unes 386 milles quadrades) de territori rus.

La recent campanya de pesca, que va desplegar programari maliciós de porta posterior als sistemes informàtics governamentals, va coincidir amb aquesta ofensiva important d'Ucraïna. Tanmateix, Kíev no ha atribuït directament aquests atacs dirigits a Rússia ni a les seves operacions cibernètiques. En canvi, la campanya s'ha relacionat amb un actor d'amenaça identificat com a UAC-0198.

Anteriorment, els pirates informàtics russos havien utilitzat tàctiques similars, aprofitant el programari legítim de control i gestió remota (RMM) per espiar Ucraïna i els seus aliats. Van amagar els scripts maliciosos necessaris per descarregar i executar el programari RMM dins del codi Python legítim del joc "Minesweeper" de Microsoft.