MeshAgent

بیش از 100 کامپیوتر دولتی و دولتی اوکراین توسط بدافزار MeshAgent در یک کمپین فیشینگ که از اعتماد به سرویس امنیتی اوکراین (SBU) سوء استفاده می‌کند، در معرض خطر قرار گرفته‌اند.

این حمله شامل ایمیل‌هایی بود که به نظر می‌رسید از SBU می‌آمدند، که حاوی پیوندی برای دانلود فایلی با عنوان "Documents.zip" بود.

با این حال، با کلیک بر روی پیوند، یک فایل نصب کننده نرم افزار Microsoft (MSI) مانند 'Scan_docs#40562153.msi' دانلود شد. باز کردن این فایل MSI باعث نصب ANONVNC، همچنین به عنوان بدافزار MeshAgent شد، که به طور بالقوه به مهاجمان اجازه دسترسی مخفیانه و غیرمجاز به سیستم‌های در معرض خطر را می‌دهد.

ممکن است مهاجمان از یک ابزار منبع باز سوء استفاده کرده باشند

بدافزار ANONVNC، همانطور که توسط محققان امنیتی تجزیه و تحلیل شده است، دارای یک فایل پیکربندی است که بسیار شبیه به ابزار نرم افزار MeshAgent است.

MeshAgent در درجه اول یک ابزار مدیریت از راه دور است که برای کار با پلتفرم منبع باز MeshCentral طراحی شده است. این سیستم عامل های مختلف از جمله ویندوز، لینوکس، macOS و FreeBSD را پشتیبانی می کند. در حالی که MeshAgent خود ذاتاً مخرب نیست، مجرمان سایبری از آن برای ایجاد درب‌های پشتی در نقاط پایانی در معرض خطر سوء استفاده می‌کنند و دسترسی از راه دور را از طریق ابزارهایی مانند VNC، RDP یا SSH ممکن می‌سازند.

اخیراً، محققان امنیتی افزایش استفاده نادرست از MeshAgent توسط مهاجمان را برای حفظ پایداری در سیستم‌های در معرض خطر و اجرای دستورات از راه دور مشاهده کرده‌اند.

چرا مجرمان سایبری ابزار MeshAgent را ربودند؟

• اتصال بدون درز: پس از نصب، MeshCentral به طور خودکار بدون نیاز به تعامل کاربر با نقاط پایانی ارتباط برقرار می کند.
• دسترسی غیرمجاز : MeshCentral می‌تواند مستقیماً یا از طریق پروتکل دسک‌تاپ از راه دور (RDP) به MeshAgent دسترسی داشته باشد و نیاز به مجوز از نقطه پایانی را دور بزند.
• کنترل سیستم : قابلیت بیدار کردن، راه اندازی مجدد یا خاموش کردن نقاط پایانی را از راه دور دارد.
• Command and Control : MeshCentral به عنوان یک سرور فرمان عمل می کند و به آن اجازه می دهد تا دستورات پوسته را اجرا کند و فایل ها را در نقطه پایانی بدون آگاهی کاربر منتقل کند.
• عملیات غیرقابل شناسایی : اقدامات انجام شده توسط MeshCentral تحت حساب NT AUTHORITY\SYSTEM عمل می کنند که به آنها کمک می کند با فرآیندهای پس زمینه عادی ترکیب شوند.
• هش فایل منحصر به فرد : هر نمونه از MeshAgent به طور منحصر به فرد تولید می شود، که تشخیص آن را از طریق هش فایل به تنهایی دشوار می کند.

کارشناسان در مورد احتمال یک کمپین تهدیدآمیز بزرگتر هشدار می دهند

محققان بر این باورند که این کمپین اخیر در جولای 2024 آغاز شد و ممکن است فراتر از مرزهای اوکراین گسترش یابد. تجزیه و تحلیل سرویس ذخیره سازی فایل pCloud بیش از هزار فایل EXE و MSI را که از اول آگوست آپلود شده اند، کشف کرده است که برخی از آنها ممکن است با این کمپین گسترده تر مرتبط باشند.

در 6 آگوست، اوکراین حمله غافلگیرانه ای را در منطقه کورسک انجام داد. برای اولین بار، یک فرمانده ارشد نظامی علناً تأیید کرد که نیروهای کیف اکنون بیش از 1000 کیلومتر مربع (حدود 386 مایل مربع) از خاک روسیه را تحت کنترل دارند.

کمپین فیشینگ اخیر، که بدافزارهای درپشتی را در سیستم های کامپیوتری دولتی مستقر کرد، با این حمله مهم اوکراین همزمان شد. با این حال، کیف مستقیماً این حملات هدفمند را به روسیه یا عملیات سایبری آن نسبت نداده است. در عوض، این کمپین با یک عامل تهدید به نام UAC-0198 مرتبط شده است.

پیش از این، هکرهای روسی از تاکتیک های مشابه استفاده کرده و از نرم افزار نظارت و مدیریت از راه دور قانونی (RMM) برای جاسوسی از اوکراین و متحدانش استفاده می کردند. آن‌ها اسکریپت‌های مخرب مورد نیاز برای دانلود و اجرای نرم‌افزار RMM را در کد پایتون قانونی بازی Minesweeper مایکروسافت پنهان کردند.