MeshAgent

Yli 100 Ukrainan valtion ja paikallishallinnon tietokonetta on vaarantunut MeshAgent-haittaohjelmalla tietojenkalastelukampanjassa, jossa hyödynnettiin luottamusta Ukrainan turvallisuuspalveluun (SBU).

Hyökkäys koski sähköposteja, jotka näyttivät tulevan SBU:lta ja sisälsivät linkin, jolla voit ladata Documents.zip-tiedoston.

Linkin napsauttaminen kuitenkin lataa sen sijaan Microsoft Software Installer (MSI) -tiedoston, kuten 'Scan_docs#40562153.msi'. Tämän MSI-tiedoston avaaminen laukaisi ANONVNC:n, joka tunnetaan myös nimellä MeshAgent-haittaohjelma, asennuksen, mikä mahdollisesti mahdollistaa hyökkääjien salatun ja luvattoman pääsyn vaarantuneisiin järjestelmiin.

Hyökkääjät ovat saattaneet hyödyntää avoimen lähdekoodin työkalua

Tietoturvatutkijoiden analysoimana ANONVNC-haittaohjelmassa on määritystiedosto, joka muistuttaa läheisesti MeshAgent-ohjelmistotyökalun tiedostoa.

MeshAgent on ensisijaisesti etähallintatyökalu, joka on suunniteltu toimimaan avoimen lähdekoodin MeshCentral-alustan kanssa. Se tukee useita käyttöjärjestelmiä, mukaan lukien Windows, Linux, macOS ja FreeBSD. Vaikka MeshAgent itsessään ei ole luonnostaan haitallinen, verkkorikolliset ovat käyttäneet sitä hyväkseen luodakseen takaovia vaarantuneisiin päätepisteisiin, mikä mahdollistaa etäkäytön VNC:n, RDP:n tai SSH:n kaltaisten työkalujen kautta.

Viime aikoina tietoturvatutkijat ovat havainneet MeshAgentin väärinkäytön lisääntyneen hyökkääjien taholta ylläpitääkseen sinnikkyyttä vaarantuneissa järjestelmissä ja suorittaakseen etäkomentoja.

Miksi kyberrikolliset kaappasivat MeshAgent-työkalun?

• Saumaton yhteys: Asennuksen jälkeen MeshCentral muodostaa automaattisesti yhteydet päätepisteisiin ilman käyttäjän toimia.
• Luvaton käyttö : MeshCentral voi käyttää MeshAgentia joko suoraan tai Remote Desktop Protocol (RDP) -protokollan kautta ohittaen päätepisteen luvan tarpeen.
• Järjestelmän ohjaus : Sillä on mahdollisuus herättää, käynnistää uudelleen tai sammuttaa päätepisteitä etänä.
• Komento ja ohjaus : MeshCentral toimii komentopalvelimena, jolloin se voi suorittaa komentotulkkikomentoja ja siirtää tiedostoja päätepisteessä ilman käyttäjän tietoisuutta.
• Tunnistamattomat toiminnot : MeshCentralin suorittamat toiminnot toimivat NT AUTHORITY\SYSTEM -tilin alla, mikä auttaa niitä sulautumaan normaaleihin taustaprosesseihin.
• Ainutlaatuiset tiedostotiivisteet : Jokainen MeshAgentin esiintymä luodaan yksilöllisesti, mikä vaikeuttaa havaitsemista pelkän tiedostotiivisteen avulla.

Asiantuntijat varoittavat suuremman uhkaavan kampanjan mahdollisuudesta

Tutkijat uskovat, että tämä uusin kampanja alkoi heinäkuussa 2024 ja saattaa ulottua Ukrainan rajojen ulkopuolelle. pCloud-tiedostojen tallennuspalvelun analyysi on paljastanut yli tuhat EXE- ja MSI-tiedostoa, jotka on ladattu elokuun 1. päivän jälkeen, joista osa saattaa liittyä tähän laajempaan kampanjaan.

Ukraina teki yllätyshyökkäyksen Kurskin alueelle 6. elokuuta. Ensimmäistä kertaa vanhempi sotilaskomentaja vahvisti julkisesti, että Kiovan joukot hallitsevat nyt yli 1000 neliökilometriä (noin 386 neliökilometriä) Venäjän aluetta.

Äskettäinen tietojenkalastelukampanja, joka käytti takaoven haittaohjelmia hallituksen tietokonejärjestelmiin, osui samaan aikaan tämän merkittävän Ukrainan hyökkäyksen kanssa. Kiova ei kuitenkaan ole suoraan syyttänyt näitä kohdistettuja hyökkäyksiä Venäjältä tai sen kyberoperaatioista. Sen sijaan kampanja on linkitetty UAC-0198:ksi tunnistettuun uhkatekijään.

Aiemmin venäläiset hakkerit ovat käyttäneet samanlaisia taktiikoita hyödyntäen laillista etävalvonta- ja hallintaohjelmistoa (RMM) vakoillessaan Ukrainaa ja sen liittolaisia. He kätkivät haitallisia komentosarjoja, joita tarvitaan RMM-ohjelmiston lataamiseen ja suorittamiseen Microsoftin Minesweeper-pelin lailliseen Python-koodiin.