MeshAgent

Více než 100 ukrajinských státních a místních vládních počítačů bylo napadeno malwarem MeshAgent v phishingové kampani, která zneužila důvěru v Bezpečnostní službu Ukrajiny (SBU).

Útok zahrnoval e-maily, které podle všeho pocházely od SBU a obsahovaly odkaz ke stažení souboru označeného 'Documents.zip'.

Kliknutím na odkaz však místo toho stáhnete soubor Microsoft Software Installer (MSI), například „Scan_docs#40562153.msi“. Otevření tohoto souboru MSI spustilo instalaci ANONVNC, známého také jako MeshAgent malware, který potenciálně umožňuje útočníkům skrytý a neoprávněný přístup k napadeným systémům.

Útočníci možná využili nástroj s otevřeným zdrojovým kódem

Malware ANONVNC, jak jej analyzovali bezpečnostní výzkumníci, obsahuje konfigurační soubor, který se velmi podobá souboru softwarového nástroje MeshAgent.

MeshAgent je především nástroj pro vzdálenou správu navržený pro spolupráci s open-source platformou MeshCentral. Podporuje různé operační systémy, včetně Windows, Linux, macOS a FreeBSD. I když samotný MeshAgent není ze své podstaty škodlivý, kyberzločinci jej využívají k vytváření zadních vrátek na kompromitovaných koncových bodech, což umožňuje vzdálený přístup prostřednictvím nástrojů jako VNC, RDP nebo SSH.

Bezpečnostní výzkumníci v poslední době zaznamenali nárůst zneužívání MeshAgent útočníky k udržení perzistence na kompromitovaných systémech a provádění vzdálených příkazů.

Proč kyberzločinci unesli nástroj MeshAgent?

• Bezproblémové připojení: Po instalaci MeshCentral automaticky naváže spojení s koncovými body, aniž by potřeboval jakoukoli interakci uživatele.
• Neoprávněný přístup : MeshCentral může přistupovat k MeshAgent buď přímo, nebo prostřednictvím protokolu RDP (Remote Desktop Protocol), čímž se obejde potřeba povolení od koncového bodu.
• System Control : Má schopnost probudit, restartovat nebo vypnout koncové body na dálku.
• Command and Control : MeshCentral funguje jako příkazový server, který mu umožňuje spouštět příkazy shellu a přenášet soubory na koncovém bodu bez vědomí uživatele.
• Nedetekovatelné operace : Akce prováděné MeshCentral fungují pod účtem NT AUTHORITY\SYSTEM, což jim pomáhá splynout s běžnými procesy na pozadí.
• Unique File Hashe : Každá instance MeshAgent je jedinečně generována, což ztěžuje detekci pomocí samotných hash souborů.

Experti varují před možností větší vyhrožující kampaně

Vědci se domnívají, že tato nejnovější kampaň začala v červenci 2024 a mohla by se rozšířit za hranice Ukrajiny. Analýza služby úložiště souborů pCloud odhalila přes tisíc souborů EXE a MSI nahraných od 1. srpna, z nichž některé mohou být spojeny s touto širší kampaní.

6. srpna zahájila Ukrajina překvapivý útok v oblasti Kurska. Vysoký vojenský velitel poprvé veřejně potvrdil, že kyjevské síly nyní ovládají více než 1000 čtverečních kilometrů (asi 386 čtverečních mil) ruského území.

Nedávná phishingová kampaň, která nasadila backdoor malware na vládní počítačové systémy, se shodovala s touto významnou ukrajinskou ofenzívou. Kyjev však tyto cílené útoky přímo nepřipsal Rusku nebo jeho kybernetickým operacím. Místo toho byla kampaň spojena s aktérem hrozby identifikovaným jako UAC-0198.

Dříve ruští hackeři používali podobnou taktiku a využívali legitimní software pro vzdálené monitorování a správu (RMM) ke špehování Ukrajiny a jejích spojenců. Skryli škodlivé skripty potřebné ke stažení a spuštění softwaru RMM v legitimním kódu Python hry „Hledání min“ společnosti Microsoft.