MeshAgent

កុំព្យូទ័ររបស់រដ្ឋ និងរដ្ឋាភិបាលក្នុងតំបន់របស់អ៊ុយក្រែនជាង 100 ត្រូវបានសម្របសម្រួលដោយមេរោគ MeshAgent នៅក្នុងយុទ្ធនាការបន្លំដែលទាញយកទំនុកចិត្តលើសេវាសន្តិសុខអ៊ុយក្រែន (SBU) ។

ការវាយប្រហារនេះពាក់ព័ន្ធនឹងអ៊ីមែលដែលទំនងមកពី SBU ដែលមានតំណភ្ជាប់ដើម្បីទាញយកឯកសារដែលមានស្លាក 'Documents.zip' ។

ទោះយ៉ាងណាក៏ដោយ ការចុចលើតំណបានទាញយកឯកសារកម្មវិធីដំឡើងកម្មវិធី Microsoft (MSI) ជំនួសវិញ ដូចជា 'Scan_docs#40562153.msi ។' ការបើកឯកសារ MSI នេះបានបង្កឱ្យមានការដំឡើង ANONVNC ដែលត្រូវបានគេស្គាល់ថាជា MeshAgent malware ដែលអាចឱ្យអ្នកវាយប្រហារលាក់បាំង និងការចូលដំណើរការដោយគ្មានការអនុញ្ញាតទៅកាន់ប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។

អ្នកវាយប្រហារប្រហែលជាបានកេងប្រវ័ញ្ចឧបករណ៍ប្រភពបើកចំហ

មេរោគ ANONVNC ដូចដែលបានវិភាគដោយអ្នកស្រាវជ្រាវសន្តិសុខ មានលក្ខណៈពិសេសឯកសារកំណត់រចនាសម្ព័ន្ធដែលប្រហាក់ប្រហែលនឹងឧបករណ៍កម្មវិធី MeshAgent ។

MeshAgent គឺជាឧបករណ៍គ្រប់គ្រងពីចម្ងាយជាចម្បងដែលត្រូវបានរចនាឡើងដើម្បីធ្វើការជាមួយវេទិកាប្រភពបើកចំហ MeshCentral ។ វាគាំទ្រប្រព័ន្ធប្រតិបត្តិការផ្សេងៗ រួមទាំង Windows, Linux, macOS និង FreeBSD ។ ខណៈពេលដែល MeshAgent ខ្លួនវាមិនមានចេតនាអាក្រក់ទេ ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតបាននិងកំពុងកេងប្រវ័ញ្ចវាដើម្បីបង្កើត backdoors លើចំនុចបញ្ចប់ដែលត្រូវបានសម្របសម្រួល ដោយបើកដំណើរការពីចម្ងាយតាមរយៈឧបករណ៍ដូចជា VNC, RDP ឬ SSH ។

ថ្មីៗនេះ អ្នកស្រាវជ្រាវផ្នែកសន្តិសុខបានសង្កេតឃើញការកើនឡើងនៃការប្រើប្រាស់ខុសនៃ MeshAgent ដោយអ្នកវាយប្រហារដើម្បីរក្សាភាពស្ថិតស្ថេរលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល និងប្រតិបត្តិពាក្យបញ្ជាពីចម្ងាយ។

ហេតុអ្វីបានជា Cybercriminals លួចយក MeshAgent Tool?

• ការតភ្ជាប់គ្មានថ្នេរ៖ បន្ទាប់ពីដំឡើងរួច MeshCentral បង្កើតការភ្ជាប់ដោយស្វ័យប្រវត្តិជាមួយនឹងចំណុចបញ្ចប់ដោយមិនចាំបាច់មានអន្តរកម្មអ្នកប្រើប្រាស់ណាមួយឡើយ។
• ការចូលប្រើដោយគ្មានការអនុញ្ញាត ៖ MeshCentral អាចចូលប្រើ MeshAgent ដោយផ្ទាល់ ឬតាមរយៈ Remote Desktop Protocol (RDP) ដោយឆ្លងកាត់តម្រូវការសម្រាប់ការអនុញ្ញាតពីចំណុចបញ្ចប់។
• ការគ្រប់គ្រងប្រព័ន្ធ ៖ វាមានសមត្ថភាពដាស់ ចាប់ផ្ដើមឡើងវិញ ឬបិទចំណុចបញ្ចប់ពីចម្ងាយ។
• ពាក្យបញ្ជា និងការគ្រប់គ្រង ៖ MeshCentral មានមុខងារជា command server ដែលអនុញ្ញាតឱ្យវាប្រតិបត្តិពាក្យបញ្ជាសែល និងផ្ទេរឯកសារនៅលើ endpoint ដោយមិនចាំបាច់មានការយល់ដឹងពីអ្នកប្រើប្រាស់។
• ប្រតិបត្តិការដែលមិនអាចរកឃើញបាន ៖ សកម្មភាពដែលធ្វើឡើងដោយ MeshCentral ដំណើរការក្រោមគណនី NT AUTHORITY\SYSTEM ដែលជួយឱ្យពួកគេបញ្ចូលគ្នាជាមួយនឹងដំណើរការផ្ទៃខាងក្រោយធម្មតា។
• Unique File Hashes ៖ រាល់ Instance របស់ MeshAgent ត្រូវបានបង្កើតដោយឯកឯង ដែលធ្វើឱ្យវាពិបាកក្នុងការរកឃើញតាមរយៈ hash ឯកសារតែម្នាក់ឯង។

អ្នកជំនាញព្រមានអំពីលទ្ធភាពនៃយុទ្ធនាការគំរាមកំហែងកាន់តែធំ

ក្រុមអ្នកស្រាវជ្រាវជឿថាយុទ្ធនាការចុងក្រោយនេះបានចាប់ផ្តើមនៅក្នុងខែកក្កដា ឆ្នាំ 2024 ហើយអាចនឹងពង្រីកហួសពីព្រំដែនរបស់ប្រទេសអ៊ុយក្រែន។ ការវិភាគនៃសេវាកម្មផ្ទុកឯកសារ pCloud បានរកឃើញឯកសារ EXE និង MSI ជាងមួយពាន់ឯកសារដែលបានផ្ទុកឡើងចាប់តាំងពីថ្ងៃទី 1 ខែសីហា ដែលមួយចំនួនអាចត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងយុទ្ធនាការដ៏ទូលំទូលាយនេះ។

កាលពីថ្ងៃទី៦ ខែសីហា អ៊ុយក្រែនបានបើកការវាយប្រហារដ៏គួរឱ្យភ្ញាក់ផ្អើលមួយនៅក្នុងតំបន់ Kursk ។ ជាលើកដំបូង មេបញ្ជាការយោធាជាន់ខ្ពស់ បានបញ្ជាក់ជាសាធារណៈថា កងកម្លាំងរបស់ទីក្រុង Kyiv ឥឡូវនេះគ្រប់គ្រងលើទឹកដីរុស្ស៊ីជាង 1,000 គីឡូម៉ែត្រការ៉េ (ប្រហែល 386 ម៉ាយការ៉េ)។

យុទ្ធនាការបន្លំថ្មីៗនេះ ដែលដាក់ពង្រាយមេរោគ backdoor នៅលើប្រព័ន្ធកុំព្យូទ័ររបស់រដ្ឋាភិបាល ស្របពេលជាមួយនឹងការវាយលុករបស់អ៊ុយក្រែនដ៏សំខាន់នេះ។ ទោះជាយ៉ាងណាក៏ដោយ Kyiv មិនបានកំណត់ដោយផ្ទាល់នូវការវាយប្រហារតាមគោលដៅទាំងនេះចំពោះប្រទេសរុស្ស៊ី ឬប្រតិបត្តិការតាមអ៊ីនធឺណិតរបស់ខ្លួននោះទេ។ ជំនួសមកវិញ យុទ្ធនាការនេះត្រូវបានភ្ជាប់ទៅនឹងអ្នកគំរាមកំហែងដែលត្រូវបានកំណត់ថាជា UAC-0198។

ពីមុន ពួក Hacker រុស្ស៊ីបានប្រើយុទ្ធសាស្ត្រស្រដៀងគ្នា ដោយប្រើប្រាស់កម្មវិធីត្រួតពិនិត្យ និងគ្រប់គ្រងពីចម្ងាយស្របច្បាប់ (RMM) ដើម្បីឈ្លបយកការណ៍លើអ៊ុយក្រែន និងសម្ព័ន្ធមិត្ត។ ពួកគេបានលាក់បាំងស្គ្រីបព្យាបាទដែលត្រូវការដើម្បីទាញយក និងដំណើរការកម្មវិធី RMM នៅក្នុងកូដ Python ស្របច្បាប់នៃហ្គេម 'Minesweeper' របស់ Microsoft ។