MeshAgent
Over 100 ukrainske stats- og lokale computere er blevet kompromitteret af MeshAgent-malwaren i en phishing-kampagne, der udnyttede tilliden til Ukraines sikkerhedstjeneste (SBU).
Angrebet involverede e-mails, der så ud til at komme fra SBU, indeholdende et link til at downloade en fil mærket 'Documents.zip'.
Men ved at klikke på linket downloadede du i stedet en Microsoft Software Installer-fil (MSI), såsom 'Scan_docs#40562153.msi.' Åbning af denne MSI-fil udløste installationen af ANONVNC, også kendt som MeshAgent malware, hvilket potentielt tillader angribere hemmelig og uautoriseret adgang til de kompromitterede systemer.
Indholdsfortegnelse
Angriberne kan have udnyttet et open source-værktøj
ANONVNC-malwaren, som analyseret af sikkerhedsforskere, har en konfigurationsfil, der ligner den fra MeshAgent-softwareværktøjet.
MeshAgent er primært et fjernstyringsværktøj designet til at arbejde med open source-platformen MeshCentral. Det opretholder forskellige operativsystemer, herunder Windows, Linux, macOS og FreeBSD. Selvom MeshAgent ikke i sig selv er ondsindet, har cyberkriminelle udnyttet det til at skabe bagdøre på kompromitterede slutpunkter, hvilket muliggør fjernadgang via værktøjer som VNC, RDP eller SSH.
For nylig har sikkerhedsforskere observeret en stigning i misbrug af MeshAgent af angribere for at opretholde persistens på kompromitterede systemer og udføre fjernkommandoer.
Hvorfor cyberkriminelle kaprede MeshAgent-værktøjet?
- Sømløs forbindelse: Efter installationen etablerer MeshCentral automatisk forbindelser med endepunkter uden brug af brugerinteraktion.
- Uautoriseret adgang : MeshCentral kan få adgang til MeshAgent enten direkte eller gennem Remote Desktop Protocol (RDP), og omgå behovet for tilladelse fra slutpunktet.
- Systemkontrol : Den har evnen til at vække, genstarte eller lukke endepunkter på afstand.
- Kommando og kontrol : MeshCentral fungerer som en kommandoserver, der gør det muligt at udføre shell-kommandoer og overføre filer på slutpunktet uden brugerens bevidsthed.
- Uopdagelige operationer : Handlinger udført af MeshCentral fungerer under kontoen NT AUTHORITY\SYSTEM, som hjælper dem med at blande sig med normale baggrundsprocesser.
- Unikke fil-hasher : Hver forekomst af MeshAgent er unikt genereret, hvilket gør det vanskeligt at opdage gennem fil-hash alene.
Eksperter advarer om muligheden for en større truende kampagne
Forskere mener, at denne seneste kampagne begyndte i juli 2024 og kan strække sig ud over Ukraines grænser. Analyse af fillagringstjenesten pCloud har afsløret over tusind EXE- og MSI-filer, der er uploadet siden 1. august, hvoraf nogle kan være forbundet med denne bredere kampagne.
Den 6. august indledte Ukraine et overraskelsesangreb i Kursk-regionen. For første gang bekræftede en højtstående militærchef offentligt, at Kyivs styrker nu kontrollerer over 1.000 kvadratkilometer (ca. 386 kvadrat miles) af russisk territorium.
Den nylige phishing-kampagne, som implementerede bagdørs-malware på statslige computersystemer, faldt sammen med denne betydelige ukrainske offensiv. Kyiv har dog ikke direkte tilskrevet disse målrettede angreb Rusland eller dets cyberoperationer. I stedet er kampagnen blevet knyttet til en trusselsaktør identificeret som UAC-0198.
Tidligere har russiske hackere brugt lignende taktikker og udnyttet legitim fjernovervågnings- og styringssoftware (RMM) til at spionere på Ukraine og dets allierede. De skjulte ondsindede scripts, der var nødvendige for at downloade og udføre RMM-softwaren i den legitime Python-kode i Microsofts 'Minesweeper'-spil.
