MeshAgent
Zlonamjerni softver MeshAgent kompromitirao je više od 100 ukrajinskih državnih i lokalnih računala u kampanji krađe identiteta koja je iskorištavala povjerenje u Službu sigurnosti Ukrajine (SBU).
Napad je uključivao e-poruke za koje se činilo da dolaze od SBU-a, a sadržavale su poveznicu za preuzimanje datoteke s oznakom 'Documents.zip'.
Međutim, klikom na vezu preuzeta je datoteka Microsoft Software Installer (MSI), kao što je "Scan_docs#40562153.msi". Otvaranje ove MSI datoteke pokrenulo je instalaciju ANONVNC-a, također poznatog kao MeshAgent malware, potencijalno dopuštajući napadačima tajni i neovlašteni pristup ugroženim sustavima.
Sadržaj
Napadači su možda iskoristili alat otvorenog koda
Malware ANONVNC, kako su ga analizirali sigurnosni istraživači, ima konfiguracijsku datoteku koja je vrlo slična onoj softverskog alata MeshAgent.
MeshAgent prvenstveno je alat za daljinsko upravljanje dizajniran za rad s open-source platformom MeshCentral. Podržava različite operativne sustave, uključujući Windows, Linux, macOS i FreeBSD. Iako MeshAgent sam po sebi nije zlonamjeran, kibernetički kriminalci ga iskorištavaju za stvaranje stražnjih vrata na kompromitiranim krajnjim točkama, omogućujući daljinski pristup putem alata kao što su VNC, RDP ili SSH.
Nedavno su sigurnosni istraživači uočili povećanje zlouporabe MeshAgenta od strane napadača za održavanje postojanosti na kompromitiranim sustavima i izvršavanje daljinskih naredbi.
Zašto su kibernetički kriminalci oteli alat MeshAgent?
- Besprijekorna veza: Nakon instalacije, MeshCentral automatski uspostavlja veze s krajnjim točkama bez potrebe za interakcijom korisnika.
- Neovlašteni pristup : MeshCentral može pristupiti MeshAgentu izravno ili putem protokola udaljene radne površine (RDP), zaobilazeći potrebu za dopuštenjem krajnje točke.
- Kontrola sustava : ima mogućnost daljinskog buđenja, ponovnog pokretanja ili isključivanja krajnjih točaka.
- Naredba i kontrola : MeshCentral funkcionira kao naredbeni poslužitelj, dopuštajući mu izvršavanje naredbi ljuske i prijenos datoteka na krajnjoj točki bez korisnikove svijesti.
- Operacije koje se ne mogu otkriti : Radnje koje izvodi MeshCentral rade pod računom NT AUTHORITY\SYSTEM, što im pomaže da se uklope u normalne pozadinske procese.
- Jedinstvena hashiranja datoteke : svaka instanca MeshAgenta je jedinstveno generirana, što otežava otkrivanje samo putem hashiranja datoteke.
Stručnjaci upozoravaju na mogućnost veće prijeteće kampanje
Istraživači vjeruju da je ova najnovija kampanja započela u srpnju 2024. i da bi se mogla proširiti izvan granica Ukrajine. Analiza usluge za pohranu datoteka pCloud otkrila je više od tisuću EXE i MSI datoteka prenesenih od 1. kolovoza, od kojih su neke možda povezane s ovom širom kampanjom.
Ukrajina je 6. kolovoza izvela iznenadni napad u regiji Kursk. Po prvi put, viši vojni zapovjednik javno je potvrdio da snage Kijeva sada kontroliraju više od 1000 četvornih kilometara (oko 386 četvornih milja) ruskog teritorija.
Nedavna kampanja krađe identiteta, koja je postavila backdoor zlonamjerni softver na vladine računalne sustave, poklopila se s ovom značajnom ukrajinskom ofenzivom. Međutim, Kijev nije izravno pripisao ove ciljane napade Rusiji ili njezinim cyber operacijama. Umjesto toga, kampanja je povezana s prijetnjom identificiranom kao UAC-0198.
Prethodno su ruski hakeri koristili sličnu taktiku, koristeći legitimni softver za daljinsko praćenje i upravljanje (RMM) za špijuniranje Ukrajine i njezinih saveznika. Sakrili su zlonamjerne skripte potrebne za preuzimanje i pokretanje RMM softvera unutar legitimnog Python koda Microsoftove igrice 'Minesweeper'.
