MeshAgent
Oltre 100 computer di enti statali e locali ucraini sono stati compromessi dal malware MeshAgent in una campagna di phishing che ha sfruttato la fiducia nel Servizio di sicurezza dell'Ucraina (SBU).
L'attacco ha coinvolto e-mail che sembravano provenire dall'SBU e che contenevano un collegamento per scaricare un file denominato "Documents.zip".
Tuttavia, cliccando sul collegamento, veniva scaricato un file Microsoft Software Installer (MSI), ad esempio 'Scan_docs#40562153.msi'. L'apertura di questo file MSI innescava l'installazione di ANONVNC, noto anche come malware MeshAgent, consentendo potenzialmente agli aggressori un accesso nascosto e non autorizzato ai sistemi compromessi.
Sommario
Gli aggressori potrebbero aver sfruttato uno strumento open source
Il malware ANONVNC, analizzato dai ricercatori di sicurezza, presenta un file di configurazione che assomiglia molto a quello dello strumento software MeshAgent.
MeshAgent è principalmente uno strumento di gestione remota progettato per funzionare con la piattaforma open source MeshCentral. Supporta vari sistemi operativi, tra cui Windows, Linux, macOS e FreeBSD. Sebbene MeshAgent in sé non sia intrinsecamente dannoso, i criminali informatici lo hanno sfruttato per creare backdoor su endpoint compromessi, consentendo l'accesso remoto tramite strumenti come VNC, RDP o SSH.
Di recente, i ricercatori di sicurezza hanno osservato un aumento dell'uso improprio di MeshAgent da parte degli aggressori per mantenere la persistenza sui sistemi compromessi ed eseguire comandi remoti.
Perché i criminali informatici hanno dirottato lo strumento MeshAgent?
- Connessione senza interruzioni: dopo l'installazione, MeshCentral stabilisce automaticamente connessioni con gli endpoint senza richiedere alcuna interazione da parte dell'utente.
- Accesso non autorizzato : MeshCentral può accedere a MeshAgent direttamente o tramite Remote Desktop Protocol (RDP), aggirando la necessità di autorizzazione dall'endpoint.
- Controllo del sistema : ha la capacità di riattivare, riavviare o arrestare gli endpoint da remoto.
- Comando e controllo : MeshCentral funziona come un server di comando, consentendogli di eseguire comandi shell e trasferire file sull'endpoint senza che l'utente se ne accorga.
- Operazioni non rilevabili : le azioni eseguite da MeshCentral operano sotto l'account NT AUTHORITY\SYSTEM, che le aiuta a mimetizzarsi con i normali processi in background.
- Hash di file univoci : ogni istanza di MeshAgent viene generata in modo univoco, il che rende difficile il rilevamento tramite i soli hash di file.
- Phishing ed elusione del firewall : gli aggressori distribuiscono spesso MeshAgent tramite e-mail di phishing. Il suo utilizzo di porte comuni come 80 e 443 per la comunicazione aumenta le possibilità di elusione del rilevamento da parte dei firewall.
Gli esperti mettono in guardia sulla possibilità di una campagna più minacciosa
I ricercatori ritengono che questa ultima campagna sia iniziata a luglio 2024 e potrebbe estendersi oltre i confini dell'Ucraina. L'analisi del servizio di archiviazione file pCloud ha scoperto oltre mille file EXE e MSI caricati dal 1° agosto, alcuni dei quali potrebbero essere associati a questa campagna più ampia.
Il 6 agosto, l'Ucraina ha lanciato un attacco a sorpresa nella regione di Kursk. Per la prima volta, un comandante militare di alto rango ha confermato pubblicamente che le forze di Kiev ora controllano oltre 1.000 chilometri quadrati (circa 386 miglia quadrate) di territorio russo.
La recente campagna di phishing, che ha distribuito malware backdoor sui sistemi informatici governativi, ha coinciso con questa importante offensiva ucraina. Tuttavia, Kiev non ha attribuito direttamente questi attacchi mirati alla Russia o alle sue operazioni informatiche. Invece, la campagna è stata collegata a un attore della minaccia identificato come UAC-0198.
In precedenza, gli hacker russi avevano utilizzato tattiche simili, sfruttando software legittimi di monitoraggio e gestione remota (RMM) per spiare l'Ucraina e i suoi alleati. Hanno nascosto script dannosi necessari per scaricare ed eseguire il software RMM all'interno del codice Python legittimo del gioco "Minesweeper" di Microsoft.
