MeshAgent

Több mint 100 ukrán állami és önkormányzati számítógépet veszélyeztetett a MeshAgent kártevő egy adathalász kampányban, amely kihasználta az Ukrajnai Biztonsági Szolgálatba (SBU) vetett bizalmat.

A támadás olyan e-maileket tartalmazott, amelyek látszólag az SBU-tól érkeztek, és tartalmaztak egy linket a „Documents.zip” nevű fájl letöltésére.

A hivatkozásra kattintva azonban egy Microsoft Software Installer (MSI) fájl lett letöltve, például a „Scan_docs#40562153.msi”. Ennek az MSI-fájlnak a megnyitása elindította az ANONVNC, más néven MeshAgent malware telepítését, amely potenciálisan lehetővé tette a támadók titkos és jogosulatlan hozzáférését a feltört rendszerekhez.

Lehet, hogy a támadók egy nyílt forráskódú eszközt használtak ki

A biztonsági kutatók által elemzett ANONVNC kártevő olyan konfigurációs fájlt tartalmaz, amely nagyon hasonlít a MeshAgent szoftvereszközére.

A MeshAgent elsősorban egy távoli felügyeleti eszköz, amelyet a nyílt forráskódú MeshCentral platformmal való együttműködésre terveztek. Különféle operációs rendszereket támogat, beleértve a Windowst, a Linuxot, a macOS-t és a FreeBSD-t. Noha a MeshAgent önmagában nem rosszindulatú, a kiberbűnözők kihasználták, hogy hátsó ajtókat hozzanak létre a feltört végpontokon, lehetővé téve a távoli hozzáférést olyan eszközökön keresztül, mint a VNC, RDP vagy SSH.

A közelmúltban biztonsági kutatók azt figyelték meg, hogy a támadók egyre többen használják vissza a MeshAgentet a feltört rendszereken való kitartás fenntartása és a távoli parancsok végrehajtása érdekében.

Miért térítették el a kiberbűnözők a MeshAgent eszközt?

• Zökkenőmentes kapcsolat: A telepítés után a MeshCentral automatikusan létrehozza a kapcsolatokat a végpontokkal anélkül, hogy felhasználói beavatkozásra lenne szüksége.
• Jogosulatlan hozzáférés : A MeshCentral közvetlenül vagy a Remote Desktop Protocol (RDP) protokollon keresztül hozzáférhet a MeshAgenthez, megkerülve a végpont engedélyét.
• Rendszervezérlés : Képes távolról felébreszteni, újraindítani vagy leállítani a végpontokat.
• Parancs és vezérlés : A MeshCentral parancskiszolgálóként működik, lehetővé téve shell-parancsok végrehajtását és fájlok átvitelét a végponton a felhasználó figyelme nélkül.
• Nem észlelhető műveletek : A MeshCentral által végrehajtott műveletek az NT AUTHORITY\SYSTEM fiók alatt működnek, ami segít beilleszkedni a normál háttérfolyamatokhoz.
• Egyedi fájlkivonatok : A MeshAgent minden egyes példánya egyedileg jön létre, ami megnehezíti a felismerést egyedül a fájlkivonatokon keresztül.

Szakértők figyelmeztetnek egy nagyobb fenyegető kampány lehetőségére

A kutatók úgy vélik, hogy ez a legutóbbi kampány 2024 júliusában kezdődött, és túlterjedhet Ukrajna határain. A pCloud fájltárolási szolgáltatás elemzése több mint ezer EXE és MSI fájlt tárt fel augusztus 1. óta, amelyek egy része ehhez a szélesebb kampányhoz köthető.

Augusztus 6-án Ukrajna meglepetésszerű támadást intézett Kurszk térségében. Egy magas rangú katonai parancsnok most először erősítette meg nyilvánosan, hogy a kijevi erők jelenleg több mint 1000 négyzetkilométernyi (mintegy 386 négyzetmérföld) orosz területet irányítanak.

Ezzel a jelentős ukrán offenzívával egybeesett a közelmúltban zajló adathalász kampány, amely hátsóajtó-malware-eket telepített a kormányzati számítógépes rendszerekre. Kijev azonban nem tulajdonította közvetlenül Oroszországnak vagy kiberműveleteinek ezeket a célzott támadásokat. Ehelyett a kampányt egy UAC-0198-ként azonosított fenyegető szereplőhöz kapcsolták.

Korábban az orosz hackerek hasonló taktikát alkalmaztak, legitim távfelügyeleti és felügyeleti (RMM) szoftvereket használva Ukrajna és szövetségesei utáni kémkedésre. A Microsoft „Minesweeper” játékának törvényes Python kódjában elrejtették az RMM-szoftver letöltéséhez és futtatásához szükséges rosszindulatú szkripteket.