MeshAgent
Per sukčiavimo kampaniją, kuri išnaudojo pasitikėjimą Ukrainos saugumo tarnyba (SBU), „MeshAgent“ kenkėjiška programa buvo pažeista daugiau nei 100 Ukrainos valstybės ir vietos valdžios kompiuterių.
Ataka apėmė el. laiškus, kurie, atrodo, buvo gauti iš SBU, kuriuose buvo nuoroda į failo, pavadinto „Documents.zip“, atsisiuntimą.
Tačiau spustelėjus nuorodą atsisiųstas „Microsoft Software Installer“ (MSI) failas, pvz., „Scan_docs#40562153.msi“. Atidarius šį MSI failą, buvo įdiegta ANONVNC, taip pat žinoma kaip „MeshAgent“ kenkėjiška programa, leidžianti užpuolikams slaptai ir neteisėtai pasiekti pažeistas sistemas.
Turinys
Užpuolikai galėjo išnaudoti atvirojo kodo įrankį
ANONVNC kenkėjiška programinė įranga, kurią išanalizavo saugumo tyrinėtojai, turi konfigūracijos failą, labai panašų į „MeshAgent“ programinės įrangos įrankį.
MeshAgent pirmiausia yra nuotolinio valdymo įrankis, skirtas dirbti su atvirojo kodo platforma MeshCentral. Jis palaiko įvairias operacines sistemas, įskaitant „Windows“, „Linux“, „MacOS“ ir „FreeBSD“. Nors pati „MeshAgent“ iš esmės nėra kenkėjiška, kibernetiniai nusikaltėliai ja naudojasi siekdami sukurti užpakalines duris pažeistuose galutiniuose taškuose, suteikdami nuotolinę prieigą naudojant tokius įrankius kaip VNC, RDP arba SSH.
Neseniai saugumo tyrinėtojai pastebėjo, kad užpuolikai piktnaudžiauja MeshAgent, kad išlaikytų atkaklumą pažeistose sistemose ir vykdytų nuotolines komandas.
Kodėl kibernetiniai nusikaltėliai užgrobė „MeshAgent“ įrankį?
- Besiūlis ryšys: po įdiegimo „MeshCentral“ automatiškai užmezga ryšius su galutiniais taškais, nereikalaujant jokios vartotojo sąveikos.
- Neteisėta prieiga : „MeshCentral“ gali pasiekti „MeshAgent“ tiesiogiai arba per nuotolinio darbalaukio protokolą (RDP), apeidama galinio taško leidimo poreikį.
- Sistemos valdymas : jis turi galimybę nuotoliniu būdu pažadinti, iš naujo paleisti arba išjungti galinius taškus.
- Komandos ir valdymas : „MeshCentral“ veikia kaip komandų serveris, leidžiantis vykdyti apvalkalo komandas ir perkelti failus galutiniame taške be vartotojo žinios.
- Neaptinkamos operacijos : „MeshCentral“ atliekami veiksmai atliekami naudojant NT AUTHORITY\SYSTEM paskyrą, o tai padeda jiems susilieti su įprastais foniniais procesais.
- Unikalios failų maišos : kiekvienas „MeshAgent“ egzempliorius yra sugeneruotas unikaliai, todėl sunku aptikti naudojant vien failų maišą.
Ekspertai perspėja dėl didesnės grėsmingos kampanijos galimybės
Tyrėjai mano, kad ši naujausia kampanija prasidėjo 2024 m. liepą ir gali išplisti už Ukrainos sienų. „pCloud“ failų saugojimo paslaugos analizė atskleidė daugiau nei tūkstantį EXE ir MSI failų, įkeltų nuo rugpjūčio 1 d., kai kurie iš jų gali būti susiję su šia platesne kampanija.
Rugpjūčio 6 dieną Ukraina pradėjo netikėtą ataką Kursko srityje. Pirmą kartą aukšto rango kariuomenės vadas viešai patvirtino, kad Kijevo pajėgos dabar kontroliuoja daugiau nei 1000 kvadratinių kilometrų (apie 386 kvadratines mylias) Rusijos teritorijos.
Neseniai vykusi sukčiavimo kampanija, kurios metu vyriausybės kompiuterių sistemose buvo įdiegta užpakalinių durų kenkėjiška programa, sutapo su šiuo reikšmingu Ukrainos puolimu. Tačiau Kijevas šių tikslinių atakų tiesiogiai nepriskyrė Rusijai ar jos kibernetinėms operacijoms. Vietoj to, kampanija buvo susieta su grėsmės veikėju, identifikuotu kaip UAC-0198.
Anksčiau Rusijos įsilaužėliai naudojo panašią taktiką, pasitelkdami teisėtą nuotolinio stebėjimo ir valdymo (RMM) programinę įrangą, kad šnipinėtų Ukrainą ir jos sąjungininkes. Jie paslėpė kenkėjiškus scenarijus, reikalingus RMM programinei įrangai atsisiųsti ir vykdyti teisėtame Microsoft žaidimo „Minesweeper“ Python kode.
