다중 라이센스 할인 견적
위협 데이터베이스 멀웨어 MeshAgent

MeshAgent

멀웨어년에 Mezo 년까지
번역 :

100개가 넘는 우크라이나 주 및 지방 정부의 컴퓨터가 우크라이나 보안 서비스(SBU)에 대한 신뢰를 악용한 피싱 캠페인을 통해 MeshAgent 맬웨어에 의해 손상되었습니다.

이 공격에는 SBU에서 보낸 것처럼 보이는 이메일이 포함되었으며, 'Documents.zip'이라는 라벨이 붙은 파일을 다운로드할 수 있는 링크가 포함되어 있었습니다.

그러나 링크를 클릭하면 대신 'Scan_docs#40562153.msi'와 같은 Microsoft 소프트웨어 설치 프로그램(MSI) 파일이 다운로드되었습니다. 이 MSI 파일을 열면 MeshAgent 맬웨어로도 알려진 ANONVNC가 설치되고, 공격자는 손상된 시스템에 은밀하고 무단으로 접근할 수 있습니다.

공격자는 오픈소스 도구를 악용했을 수 있습니다.

보안 연구원들이 분석한 바에 따르면 ANONVNC 맬웨어는 MeshAgent 소프트웨어 도구의 구성 파일과 매우 유사한 구성 파일을 가지고 있습니다.

MeshAgent는 기본적으로 오픈소스 플랫폼 MeshCentral과 함께 작동하도록 설계된 원격 관리 도구입니다. Windows, Linux, macOS, FreeBSD를 포함한 다양한 운영 체제를 지원합니다. MeshAgent 자체는 본질적으로 악의적이지 않지만 사이버 범죄자들은 이를 악용하여 손상된 엔드포인트에 백도어를 생성하여 VNC, RDP 또는 SSH와 같은 도구를 통한 원격 액세스를 가능하게 했습니다.

최근 보안 연구원들은 공격자가 손상된 시스템에서 지속성을 유지하고 원격 명령을 실행하기 위해 MeshAgent를 오용하는 사례가 증가하고 있는 것을 관찰했습니다.

사이버범죄자들이 MeshAgent 도구를 해킹한 이유는 무엇인가?

  • 원활한 연결: MeshCentral은 설치 후 사용자 상호 작용이 필요 없이 엔드포인트와 자동으로 연결을 설정합니다.
  • 허가되지 않은 액세스 : MeshCentral은 엔드포인트의 허가 없이 직접 또는 원격 데스크톱 프로토콜(RDP)을 통해 MeshAgent에 액세스할 수 있습니다.
  • 시스템 제어 : 엔드포인트를 원격으로 깨우고, 재시작하거나 종료할 수 있는 기능이 있습니다.
  • 명령 및 제어 : MeshCentral은 명령 서버 역할을 하여 사용자가 알지 못하는 사이에 셸 명령을 실행하고 엔드포인트에서 파일을 전송할 수 있습니다.
  • 감지할 수 없는 작업 : MeshCentral에서 수행하는 작업은 NT AUTHORITY\SYSTEM 계정에서 작동하므로 일반 백그라운드 프로세스에 섞여들 수 있습니다.
  • 고유 파일 해시 : MeshAgent의 각 인스턴스는 고유하게 생성되므로 파일 해시만으로는 감지하기 어렵습니다.
  • 피싱 및 방화벽 회피 : 공격자는 피싱 이메일을 통해 MeshAgent를 자주 배포합니다. 통신에 80 및 443과 같은 일반적인 포트를 사용하면 방화벽의 감지를 회피할 가능성이 높아집니다.

전문가들은 더 큰 위협적인 캠페인의 가능성에 대해 경고합니다.

연구자들은 이 최신 캠페인이 2024년 7월에 시작되어 우크라이나 국경 너머로 확장될 수 있다고 믿습니다. pCloud 파일 저장 서비스에 대한 분석 결과 8월 1일 이후로 업로드된 EXE 및 MSI 파일이 1,000개가 넘었으며, 그 중 일부는 이 광범위한 캠페인과 관련이 있을 수 있습니다.

8월 6일, 우크라이나는 쿠르스크 지역에 기습 공격을 가했다. 처음으로 고위 군 사령관이 키이우군이 현재 1,000제곱킬로미터(약 386제곱마일)가 넘는 러시아 영토를 통제하고 있다고 공개적으로 확인했다.

정부 컴퓨터 시스템에 백도어 맬웨어를 배포한 최근 피싱 캠페인은 이 중요한 우크라이나 공세와 동시에 발생했습니다. 그러나 키이우는 이러한 표적 공격을 러시아나 사이버 작전에 직접 기인시키지 않았습니다. 대신 이 캠페인은 UAC-0198로 식별된 위협 행위자와 연결되었습니다.

이전에 러시아 해커들은 비슷한 전략을 사용하여 합법적인 원격 모니터링 및 관리(RMM) 소프트웨어를 활용하여 우크라이나와 그 동맹국을 감시했습니다. 그들은 Microsoft의 'Minesweeper' 게임의 합법적인 Python 코드 내에 RMM 소프트웨어를 다운로드하고 실행하는 데 필요한 악성 스크립트를 숨겼습니다.

트렌드

Auggiver.co.in

불량 웹사이트, 브라우저 하이재커
Auggiver.co.in은 조작 전략을 활용하여 사용자에게 푸시 알림을 구독하도록 압력을 가하는 사기성 웹사이트입니다. 결과적으로 웹 사이트는 사용자의 컴퓨터나 장치에 원치 않는 알림을 쏟아 붓는 기능을 갖게 됩니다. Auggiver.co의 핵심 의도. 브라우저에 통합된 푸시 알림 시스템을 활용하는 것입니다. 이 접근 방식은 의심하지 않는 개인의...

Cleancaptcha.top

불량 웹사이트, 브라우저 하이재커
Cleancaptcha.top은 부당한 방법을 통해 운영자에게 금전적 이익을 창출하는 것을 목표로 합니다. 그런 점에서 같은 목적을 위해 유사한 클릭베이트 전술을 사용하는 수많은 다른 페이지와 거의 구별할 수 없습니다. 사용자는 이러한 의심스러운 사이트에 거의 방문하지 않으며 대신 강제 리디렉션의 결과로 이동합니다. Cleancaptcha.top에서...

귀하의 사서함 버전이 중단될 것입니다 사기

피싱, 스팸
온라인 사기꾼들은 사용자를 속이고 귀중한 데이터를 훔치기 위해 끊임없이 새로운 수법을 개발합니다. '이 버전의 사서함은 더 이상 사용할 수 없습니다' 사기가 그 예입니다. 이 사기는 의심하지 않는 피해자의 로그인 정보를 수집하기 위해 고안된 피싱 캠페인입니다. 사이버 보안 전문가들은 이러한 사기성 메시지가 합법적인 회사, 조직 또는 서비스 제공업체와 관련이 없다고 경고합니다. 서비스 알림으로 위장한 사기성 이메일 이 사기는 평판이 좋은 이메일 서비스 제공업체에서 보낸 것처럼 위장하여 정교하게 작성된 이메일로 시작됩니다. 이 메시지는 수신자에게 사서함 버전이 곧 중단될 예정이며, 신속하게 조치를 취하지 않으면 이메일 계정이 비활성화되거나 폐쇄될 것이라고 경고합니다. 이 이메일에는 일반적으로...

가장 많이 본

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
53,893
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...

Discord가 회색 화면에 멈춤

문제
40,886
때때로 Discord 응용 프로그램을 사용하는 동안 사용자가 회색 화면에서 멈출 수 있습니다. 스트리밍 또는 단순히 응용 프로그램을 로드하는 동안 문제가 발생할 수 있습니다. 이 문제가 발생하고 해결 방법이 궁금하다면 다음 해결 방법을 시도해 보십시오. 화면 모드 간 전환 원인이 시각적 결함이고 더 심각한 것이 아닌 경우 전체 화면 모드 또는 더 작은...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
39,560
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...
로드 중...