Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό MeshAgent

MeshAgent

Μέχρι το Mezo το Κακόβουλο λογισμικό
Μετάφραση σε:

Περισσότεροι από 100 κρατικοί και τοπικοί υπολογιστές της Ουκρανίας έχουν παραβιαστεί από το κακόβουλο λογισμικό MeshAgent σε μια εκστρατεία phishing που εκμεταλλεύτηκε την εμπιστοσύνη στην Υπηρεσία Ασφαλείας της Ουκρανίας (SBU).

Η επίθεση αφορούσε μηνύματα ηλεκτρονικού ταχυδρομείου που φαινόταν να προέρχονται από την SBU, που περιείχαν έναν σύνδεσμο για τη λήψη ενός αρχείου με την ένδειξη "Documents.zip".

Ωστόσο, κάνοντας κλικ στον σύνδεσμο κατεβάστηκε ένα αρχείο Microsoft Software Installer (MSI), όπως το 'Scan_docs#40562153.msi.' Το άνοιγμα αυτού του αρχείου MSI πυροδότησε την εγκατάσταση του ANONVNC, γνωστό και ως κακόβουλο λογισμικό MeshAgent, επιτρέποντας ενδεχομένως στους εισβολείς μυστική και μη εξουσιοδοτημένη πρόσβαση στα παραβιασμένα συστήματα.

Οι επιτιθέμενοι μπορεί να έχουν εκμεταλλευτεί ένα εργαλείο ανοιχτού κώδικα

Το κακόβουλο λογισμικό ANONVNC, όπως αναλύθηκε από ερευνητές ασφαλείας, διαθέτει ένα αρχείο διαμόρφωσης που μοιάζει πολύ με αυτό του εργαλείου λογισμικού MeshAgent.

Το MeshAgent είναι κυρίως ένα εργαλείο απομακρυσμένης διαχείρισης που έχει σχεδιαστεί για να λειτουργεί με την πλατφόρμα ανοιχτού κώδικα MeshCentral. Υποστηρίζει διάφορα λειτουργικά συστήματα, συμπεριλαμβανομένων των Windows, Linux, macOS και FreeBSD. Ενώ το ίδιο το MeshAgent δεν είναι εγγενώς κακόβουλο, οι εγκληματίες του κυβερνοχώρου το εκμεταλλεύονται για να δημιουργήσουν κερκόπορτες σε παραβιασμένα τελικά σημεία, επιτρέποντας την απομακρυσμένη πρόσβαση μέσω εργαλείων όπως το VNC, το RDP ή το SSH.

Πρόσφατα, οι ερευνητές ασφαλείας παρατήρησαν μια αύξηση στην κακή χρήση του MeshAgent από εισβολείς για να διατηρήσουν την επιμονή σε παραβιασμένα συστήματα και να εκτελέσουν απομακρυσμένες εντολές.

Γιατί οι κυβερνοεγκληματίες κατέλαβαν το MeshAgent Tool;

  • Απρόσκοπτη σύνδεση: Μετά την εγκατάσταση, το MeshCentral δημιουργεί αυτόματα συνδέσεις με τελικά σημεία χωρίς να χρειάζεται καμία αλληλεπίδραση με τον χρήστη.
  • Μη εξουσιοδοτημένη πρόσβαση : Το MeshCentral μπορεί να αποκτήσει πρόσβαση στο MeshAgent είτε απευθείας είτε μέσω του πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP), παρακάμπτοντας την ανάγκη για άδεια από το τελικό σημείο.
  • Έλεγχος συστήματος : Έχει τη δυνατότητα αφύπνισης, επανεκκίνησης ή τερματισμού τερματικών σημείων εξ αποστάσεως.
  • Command and Control : Το MeshCentral λειτουργεί ως διακομιστής εντολών, επιτρέποντάς του να εκτελεί εντολές φλοιού και να μεταφέρει αρχεία στο τελικό σημείο χωρίς να το γνωρίζει ο χρήστης.
  • Μη ανιχνεύσιμες λειτουργίες : Οι ενέργειες που εκτελούνται από το MeshCentral λειτουργούν με τον λογαριασμό NT AUTHORITY\SYSTEM, ο οποίος τους βοηθά να συνδυάζονται με κανονικές διεργασίες παρασκηνίου.
  • Μοναδικοί κατακερματισμοί αρχείων : Κάθε παρουσία του MeshAgent δημιουργείται μοναδικά, γεγονός που καθιστά δύσκολο τον εντοπισμό μόνο μέσω των κατακερματισμών αρχείων.
  • Ψάρεμα και αποφυγή τείχους προστασίας : Οι επιτιθέμενοι διανέμουν συχνά το MeshAgent μέσω email ηλεκτρονικού ψαρέματος. Η χρήση κοινών θυρών όπως οι 80 και 443 για επικοινωνία αυξάνει τις πιθανότητες αποφυγής εντοπισμού από τείχη προστασίας.

    • Οι ειδικοί προειδοποιούν για την πιθανότητα μεγαλύτερης απειλητικής εκστρατείας

    Οι ερευνητές πιστεύουν ότι αυτή η τελευταία εκστρατεία ξεκίνησε τον Ιούλιο του 2024 και μπορεί να επεκταθεί πέρα από τα σύνορα της Ουκρανίας. Η ανάλυση της υπηρεσίας αποθήκευσης αρχείων pCloud αποκάλυψε πάνω από χίλια αρχεία EXE και MSI που ανέβηκαν από την 1η Αυγούστου, μερικά από τα οποία μπορεί να σχετίζονται με αυτήν την ευρύτερη καμπάνια.

    Στις 6 Αυγούστου, η Ουκρανία εξαπέλυσε αιφνιδιαστική επίθεση στην περιοχή του Κουρσκ. Για πρώτη φορά, ένας ανώτερος στρατιωτικός διοικητής επιβεβαίωσε δημόσια ότι οι δυνάμεις του Κιέβου ελέγχουν πλέον πάνω από 1.000 τετραγωνικά χιλιόμετρα (περίπου 386 τετραγωνικά μίλια) ρωσικής επικράτειας.

    Η πρόσφατη εκστρατεία phishing, η οποία ανέπτυξε κακόβουλο λογισμικό backdoor σε κυβερνητικά συστήματα υπολογιστών, συνέπεσε με αυτή τη σημαντική ουκρανική επίθεση. Ωστόσο, το Κίεβο δεν έχει αποδώσει απευθείας αυτές τις στοχευμένες επιθέσεις στη Ρωσία ή τις επιχειρήσεις της στον κυβερνοχώρο. Αντίθετα, η εκστρατεία έχει συνδεθεί με έναν παράγοντα απειλής που προσδιορίζεται ως UAC-0198.

    Προηγουμένως, Ρώσοι χάκερ είχαν χρησιμοποιήσει παρόμοιες τακτικές, αξιοποιώντας το νόμιμο λογισμικό απομακρυσμένης παρακολούθησης και διαχείρισης (RMM) για να κατασκοπεύσουν την Ουκρανία και τους συμμάχους της. Έκρυβαν κακόβουλα σενάρια που απαιτούνταν για τη λήψη και εκτέλεση του λογισμικού RMM μέσα στον νόμιμο κώδικα Python του παιχνιδιού «Minesweeper» της Microsoft.

    Τάσεις

    Η έκδοση του γραμματοκιβωτίου σας θα διακοπεί - απάτη

    Phishing, Ανεπιθύμητη αλληλογραφία
    Οι διαδικτυακοί απατεώνες αναπτύσσουν συνεχώς νέα κόλπα για να εξαπατήσουν τους χρήστες και να κλέψουν πολύτιμα δεδομένα. Ένα τέτοιο παράδειγμα είναι η απάτη «Η έκδοση του γραμματοκιβωτίου σας θα διακοπεί», μια εκστρατεία ηλεκτρονικού "ψαρέματος" (phishing) που έχει σχεδιαστεί για να συλλέγει διαπιστευτήρια σύνδεσης από ανυποψίαστα θύματα. Οι ειδικοί στον κυβερνοχώρο προειδοποιούν ότι αυτά τα...

    Περισσότερες εμφανίσεις

    Κακόβουλο λογισμικό

    Phishing, Ανεπιθύμητη αλληλογραφία
    33,840
    Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
    Φόρτωση...