MeshAgent

למעלה מ-100 מחשבי מדינה ורשויות מקומיות באוקראינה נפגעו על ידי התוכנה הזדונית MeshAgent במסע פרסום דיוג שניצל את האמון בשירות הביטחון של אוקראינה (SBU).

המתקפה כללה מיילים שנראה שהגיעו מה-SBU, המכילים קישור להורדת קובץ שכותרתו 'Documents.zip'.

עם זאת, לחיצה על הקישור הורידה במקום זאת קובץ של Microsoft Software Installer (MSI), כגון 'Scan_docs#40562153.msi'. פתיחת קובץ MSI זה הפעילה את ההתקנה של ANONVNC, המכונה גם תוכנה זדונית MeshAgent, שעלולה לאפשר לתוקפים גישה סמויה ובלתי מורשית למערכות שנפרצו.

ייתכן שהתוקפים ניצלו כלי קוד פתוח

התוכנה הזדונית ANONVNC, כפי שנותחה על ידי חוקרי אבטחה, כוללת קובץ תצורה הדומה מאוד לזה של כלי התוכנה MeshAgent.

MeshAgent הוא בעיקר כלי ניהול מרחוק שנועד לעבוד עם פלטפורמת הקוד הפתוח MeshCentral. הוא מקיים מערכות הפעלה שונות, כולל Windows, Linux, macOS ו- FreeBSD. בעוד MeshAgent עצמו אינו זדוני מטבעו, פושעי סייבר ניצלו אותו כדי ליצור דלתות אחוריות בנקודות קצה שנפגעו, מה שמאפשר גישה מרחוק באמצעות כלים כמו VNC, RDP או SSH.

לאחרונה, חוקרי אבטחה ראו עלייה בשימוש לרעה ב-MeshAgent על ידי תוקפים כדי לשמור על התמדה במערכות שנפגעו ולבצע פקודות מרחוק.

מדוע פושעי סייבר חטפו את כלי MeshAgent?

• חיבור חלק: לאחר ההתקנה, MeshCentral יוצר באופן אוטומטי חיבורים עם נקודות קצה ללא צורך באינטראקציה כלשהי של המשתמש.
• גישה לא מורשית : MeshCentral יכולה לגשת ל-MeshAgent ישירות או דרך פרוטוקול שולחן עבודה מרוחק (RDP), תוך עקיפת הצורך בהרשאה מנקודת הקצה.
• בקרת מערכת : יש לו את היכולת להעיר, להפעיל מחדש או לכבות נקודות קצה מרחוק.
• פיקוד ובקרה : MeshCentral מתפקד כשרת פקודות, ומאפשר לו לבצע פקודות מעטפת ולהעביר קבצים בנקודת הקצה ללא מודעות המשתמש.
• פעולות בלתי ניתנות לזיהוי : פעולות המבוצעות על ידי MeshCentral פועלות תחת חשבון NT AUTHORITY\SYSTEM, מה שעוזר להם להשתלב בתהליכי רקע רגילים.
• Hash של קבצים ייחודיים : כל מופע של MeshAgent נוצר באופן ייחודי, מה שמקשה על זיהוי באמצעות Hash של קבצים בלבד.

מומחים מזהירים מפני האפשרות של קמפיין מאיים גדול יותר

חוקרים מאמינים שהקמפיין האחרון הזה התחיל ביולי 2024 ועלול להתרחב מעבר לגבולות אוקראינה. ניתוח של שירות אחסון הקבצים pCloud חשף למעלה מאלף קבצי EXE ו-MSI שהועלו מאז 1 באוגוסט, וחלקם עשויים להיות משויכים למסע פרסום רחב יותר זה.

ב-6 באוגוסט פתחה אוקראינה במתקפת פתע באזור קורסק. לראשונה, מפקד צבאי בכיר אישר בפומבי כי כוחות קייב שולטים כעת ב-1,000 קמ"ר (כ-386 מייל רבוע) של השטח הרוסי.

קמפיין הדיוג האחרון, שהציב תוכנות זדוניות בדלת אחורית במערכות מחשב ממשלתיות, עלה בקנה אחד עם המתקפה האוקראינית המשמעותית הזו. עם זאת, קייב לא ייחסה ישירות את ההתקפות הממוקדות הללו לרוסיה או לפעולות הסייבר שלה. במקום זאת, הקמפיין נקשר לשחקן איום שזוהה כ-UAC-0198.

בעבר, האקרים רוסים השתמשו בטקטיקות דומות, תוך מינוף תוכנות לגיטימיות לניטור וניהול מרחוק (RMM) כדי לרגל אחר אוקראינה ובעלות בריתה. הם הסתירו סקריפטים זדוניים הדרושים כדי להוריד ולהפעיל את תוכנת ה-RMM בתוך קוד Python הלגיטימי של משחק 'שולה המוקשים' של מיקרוסופט.