MeshAgent

Üle 100 Ukraina riigi- ja kohalike omavalitsuste arvutite on sattunud õngitsemiskampaania käigus ohtu MeshAgenti pahavara, mis kasutas ära usaldust Ukraina julgeolekuteenistuse (SBU) vastu.

Rünnak hõlmas e-kirju, mis näisid pärinevat SBU-lt ja sisaldasid linki faili allalaadimiseks nimega "Documents.zip".

Kuid lingil klõpsamisel laaditi selle asemel alla Microsofti tarkvara installija (MSI) fail, näiteks „Scan_docs#40562153.msi”. Selle MSI-faili avamine käivitas ANONVNC, tuntud ka kui MeshAgent pahavara, installimise, mis võib võimaldada ründajatel varjatud ja volitamata juurdepääsu ohustatud süsteemidele.

Ründajad võisid ära kasutada avatud lähtekoodiga tööriista

Turvauurijate analüüsitud ANONVNC pahavara sisaldab konfiguratsioonifaili, mis sarnaneb väga MeshAgenti tarkvaratööriista omaga.

MeshAgent on peamiselt kaughaldustööriist, mis on loodud töötama avatud lähtekoodiga platvormiga MeshCentral. See toetab erinevaid operatsioonisüsteeme, sealhulgas Windows, Linux, macOS ja FreeBSD. Kuigi MeshAgent ise ei ole oma olemuselt pahatahtlik, on küberkurjategijad seda ära kasutanud, et luua ohustatud lõpp-punktidele tagauksi, võimaldades kaugjuurdepääsu selliste tööriistade kaudu nagu VNC, RDP või SSH.

Hiljuti on turvateadlased täheldanud MeshAgenti väärkasutamise sagenemist ründajate poolt ohustatud süsteemides püsivuse säilitamiseks ja kaugkäskude täitmiseks.

Miks küberkurjategijad kaaperdasid MeshAgenti tööriista?

• Sujuv ühendus: pärast installimist loob MeshCentral automaatselt ühendused lõpp-punktidega, ilma et oleks vaja kasutaja sekkumist.
• Volitamata juurdepääs : MeshCentral pääseb MeshAgentile juurde kas otse või kaugtöölaua protokolli (RDP) kaudu, jättes mööda lõpp-punkti loa vajadusest.
• Süsteemi juhtimine : sellel on võimalus kaugjuhtimisega lõpp-punkte äratada, taaskäivitada või sulgeda.
• Käsud ja juhtimine : MeshCentral toimib käsuserverina, võimaldades tal täita kestakäske ja edastada faile lõpp-punktis ilma kasutaja teadmata.
• Tuvastamatud toimingud : MeshCentrali toimingud toimivad NT AUTHORITY\SYSTEM konto all, mis aitab neil tavaliste taustaprotsessidega sulanduda.
• Ainulaadsed failiräsid : iga MeshAgenti eksemplar genereeritakse kordumatult, mistõttu on raske tuvastada ainult failiräside kaudu.

Eksperdid hoiatavad suurema ähvardava kampaania võimaluse eest

Teadlased usuvad, et see viimane kampaania algas juulis 2024 ja võib ulatuda väljapoole Ukraina piire. Failide salvestamise teenuse pCloud analüüs on avastanud üle tuhande EXE- ja MSI-faili, mis on üles laaditud alates 1. augustist, millest mõned võivad olla seotud selle laiema kampaaniaga.

6. augustil alustas Ukraina üllatusrünnakut Kurski oblastis. Esimest korda kinnitas kõrge sõjaväeülem avalikult, et Kiievi väed kontrollivad nüüd üle 1000 ruutkilomeetri (umbes 386 ruutmiili) Venemaa territooriumi.

Hiljutine andmepüügikampaania, mis kasutas valitsuse arvutisüsteemides tagaukse pahavara, langes kokku selle olulise Ukraina rünnakuga. Samas ei ole Kiiev neid suunatud rünnakuid otseselt Venemaa ega selle küberoperatsioonide arvele omistanud. Selle asemel on kampaania seotud ohus osalejaga, mille nimi on UAC-0198.

Varem on Venemaa häkkerid kasutanud sarnast taktikat, kasutades Ukraina ja tema liitlaste järele luuramiseks legitiimset kaugseire ja -halduse (RMM) tarkvara. Nad peitsid Microsofti mängu „Minesweeper” seaduslikus Pythoni koodis RMM-i tarkvara allalaadimiseks ja käivitamiseks vajalikud pahatahtlikud skriptid.