MeshAgent

यूक्रेन की सुरक्षा सेवा (एसबीयू) में विश्वास का फायदा उठाते हुए चलाए गए फ़िशिंग अभियान में मेशएजेंट मैलवेयर द्वारा 100 से अधिक यूक्रेनी राज्य और स्थानीय सरकारी कंप्यूटरों को खतरे में डाल दिया गया है।

यह हमला एस.बी.यू. से आए ईमेल पर आधारित था, जिसमें 'Documents.zip' नामक फाइल को डाउनलोड करने के लिए लिंक था।

हालांकि, लिंक पर क्लिक करने से एक Microsoft सॉफ्टवेयर इंस्टॉलर (MSI) फ़ाइल डाउनलोड हो गई, जैसे कि 'Scan_docs#40562153.msi'। इस MSI फ़ाइल को खोलने से ANONVNC की स्थापना शुरू हो गई, जिसे MeshAgent मैलवेयर के रूप में भी जाना जाता है, जो संभावित रूप से हमलावरों को समझौता किए गए सिस्टम तक गुप्त और अनधिकृत पहुंच प्रदान करता है।

हमलावरों ने संभवतः ओपन-सोर्स टूल का फायदा उठाया है

सुरक्षा शोधकर्ताओं द्वारा विश्लेषण किए गए अनुसार ANONVNC मैलवेयर में एक कॉन्फ़िगरेशन फ़ाइल है जो MeshAgent सॉफ़्टवेयर टूल से काफी मिलती जुलती है।

मेशएजेंट मुख्य रूप से एक रिमोट मैनेजमेंट टूल है जिसे ओपन-सोर्स प्लेटफॉर्म मेशसेंट्रल के साथ काम करने के लिए डिज़ाइन किया गया है। यह विंडोज, लिनक्स, मैकओएस और फ्रीबीएसडी सहित विभिन्न ऑपरेटिंग सिस्टम को सपोर्ट करता है। जबकि मेशएजेंट खुद में स्वाभाविक रूप से दुर्भावनापूर्ण नहीं है, साइबर अपराधी इसका इस्तेमाल समझौता किए गए एंडपॉइंट पर बैकडोर बनाने के लिए कर रहे हैं, जिससे VNC, RDP या SSH जैसे टूल के माध्यम से रिमोट एक्सेस सक्षम हो जाता है।

हाल ही में, सुरक्षा शोधकर्ताओं ने हमलावरों द्वारा समझौता किए गए सिस्टम पर दृढ़ता बनाए रखने और दूरस्थ आदेशों को निष्पादित करने के लिए मेशएजेंट के दुरुपयोग में वृद्धि देखी है।

साइबर अपराधियों ने MeshAgent टूल को क्यों हाईजैक कर लिया?

• निर्बाध कनेक्शन: स्थापना के बाद, मेशसेन्ट्रल स्वचालित रूप से किसी भी उपयोगकर्ता सहभागिता की आवश्यकता के बिना अंतबिंदुओं के साथ कनेक्शन स्थापित करता है।
• अनधिकृत पहुंच : मेशसेंट्रल, अंतबिंदु से अनुमति की आवश्यकता को दरकिनार करते हुए, सीधे या रिमोट डेस्कटॉप प्रोटोकॉल (RDP) के माध्यम से मेशएजेंट तक पहुंच सकता है।
• सिस्टम नियंत्रण : इसमें दूरस्थ रूप से एंडपॉइंट को जगाने, पुनः आरंभ करने या बंद करने की क्षमता है।
• कमांड और नियंत्रण : मेशसेन्ट्रल एक कमांड सर्वर के रूप में कार्य करता है, जिससे यह उपयोगकर्ता की जानकारी के बिना शेल कमांड निष्पादित कर सकता है और एंडपॉइंट पर फ़ाइलों को स्थानांतरित कर सकता है।
• अनिर्धारित कार्यवाहियां : मेशसेन्ट्रल द्वारा निष्पादित क्रियाएं NT AUTHORITY\SYSTEM खाते के अंतर्गत संचालित होती हैं, जो उन्हें सामान्य पृष्ठभूमि प्रक्रियाओं के साथ मिश्रित होने में मदद करती हैं।
• अद्वितीय फ़ाइल हैश : मेशएजेंट का प्रत्येक उदाहरण अद्वितीय रूप से उत्पन्न होता है, जिससे अकेले फ़ाइल हैश के माध्यम से इसका पता लगाना मुश्किल हो जाता है।
• फ़िशिंग और फ़ायरवॉल से बचना : हमलावर अक्सर फ़िशिंग ईमेल के ज़रिए मेशएजेंट वितरित करते हैं। संचार के लिए 80 और 443 जैसे सामान्य पोर्ट का उपयोग करने से फ़ायरवॉल द्वारा पता लगाने से बचने की संभावना बढ़ जाती है।

विशेषज्ञों ने बड़े ख़तरनाक अभियान की संभावना के बारे में चेतावनी दी

शोधकर्ताओं का मानना है कि यह नवीनतम अभियान जुलाई 2024 में शुरू हुआ था और यूक्रेन की सीमाओं से आगे तक फैल सकता है। pCloud फ़ाइल स्टोरेज सेवा के विश्लेषण से 1 अगस्त से अपलोड की गई एक हज़ार से ज़्यादा EXE और MSI फ़ाइलें सामने आई हैं, जिनमें से कुछ इस व्यापक अभियान से जुड़ी हो सकती हैं।

6 अगस्त को यूक्रेन ने कुर्स्क क्षेत्र में अचानक हमला किया। पहली बार, एक वरिष्ठ सैन्य कमांडर ने सार्वजनिक रूप से पुष्टि की कि कीव की सेना अब 1,000 वर्ग किलोमीटर (लगभग 386 वर्ग मील) रूसी क्षेत्र पर नियंत्रण रखती है।

हाल ही में फ़िशिंग अभियान, जिसमें सरकारी कंप्यूटर सिस्टम पर बैकडोर मैलवेयर तैनात किया गया था, इस महत्वपूर्ण यूक्रेनी हमले के साथ मेल खाता है। हालाँकि, कीव ने इन लक्षित हमलों के लिए सीधे तौर पर रूस या उसके साइबर संचालन को जिम्मेदार नहीं ठहराया है। इसके बजाय, अभियान को UAC-0198 के रूप में पहचाने जाने वाले एक ख़तरनाक अभिनेता से जोड़ा गया है।

इससे पहले, रूसी हैकर्स ने यूक्रेन और उसके सहयोगियों पर जासूसी करने के लिए वैध रिमोट मॉनिटरिंग और मैनेजमेंट (RMM) सॉफ़्टवेयर का लाभ उठाते हुए इसी तरह की रणनीति का इस्तेमाल किया था। उन्होंने Microsoft के 'माइनस्वीपर' गेम के वैध पायथन कोड के भीतर RMM सॉफ़्टवेयर को डाउनलोड करने और निष्पादित करने के लिए आवश्यक दुर्भावनापूर्ण स्क्रिप्ट को छिपा दिया।