MeshAgent
Vairāk nekā 100 Ukrainas valsts un pašvaldību datorus ir apdraudējusi ļaunprogrammatūra MeshAgent pikšķerēšanas kampaņā, kurā tika izmantota uzticība Ukrainas Drošības dienestam (SBU).
Uzbrukumā tika iesaistīti e-pasta ziņojumi, kas, šķiet, nāca no SBU un satur saiti, lai lejupielādētu failu ar nosaukumu "Documents.zip".
Tomēr, noklikšķinot uz saites, tā vietā tika lejupielādēts Microsoft programmatūras instalēšanas (MSI) fails, piemēram, "Scan_docs#40562153.msi". Atverot šo MSI failu, tika instalēta ANONVNC, kas pazīstama arī kā MeshAgent ļaunprogrammatūra, kas potenciāli ļāva uzbrucējiem slēptu un nesankcionētu piekļuvi uzlauztajām sistēmām.
Satura rādītājs
Uzbrucēji, iespējams, ir izmantojuši atvērtā pirmkoda rīku
Drošības pētnieku analizētajā ļaundabīgajā programmā ANONVNC ir konfigurācijas fails, kas ļoti līdzinās MeshAgent programmatūras rīkam.
MeshAgent galvenokārt ir attālās pārvaldības rīks, kas paredzēts darbam ar atvērtā koda platformu MeshCentral. Tas atbalsta dažādas operētājsistēmas, tostarp Windows, Linux, macOS un FreeBSD. Lai gan pats MeshAgent pēc būtības nav ļaunprātīgs, kibernoziedznieki to izmanto, lai izveidotu aizmugures durvis apdraudētiem galapunktiem, nodrošinot attālo piekļuvi, izmantojot tādus rīkus kā VNC, RDP vai SSH.
Nesen drošības pētnieki ir novērojuši, ka uzbrucēji ļaunprātīgi izmanto MeshAgent, lai saglabātu neatlaidību apdraudētās sistēmās un izpildītu attālās komandas.
Kāpēc kibernoziedznieki nolaupīja rīku MeshAgent?
- Bezšuvju savienojums: pēc instalēšanas MeshCentral automātiski izveido savienojumus ar galapunktiem bez lietotāja iejaukšanās.
- Neatļauta piekļuve : MeshCentral var piekļūt MeshAgent vai nu tieši, vai izmantojot attālās darbvirsmas protokolu (RDP), apejot vajadzību pēc atļaujas no galapunkta.
- Sistēmas vadība : tai ir iespēja attālināti pamodināt, restartēt vai izslēgt galapunktus.
- Command and Control : MeshCentral darbojas kā komandu serveris, ļaujot tai izpildīt čaulas komandas un pārsūtīt failus galapunktā bez lietotāja informētības.
- Nenosakāmas darbības : MeshCentral veiktās darbības tiek veiktas NT AUTHORITY\SYSTEM kontā, kas palīdz tām apvienoties ar parastajiem fona procesiem.
- Unikālie failu jaucēji : katrs MeshAgent gadījums ir unikāli ģenerēts, kas apgrūtina noteikšanu, izmantojot tikai failu jaucējus.
Eksperti brīdina par lielākas draudu kampaņas iespējamību
Pētnieki uzskata, ka šī jaunākā kampaņa sākās 2024. gada jūlijā un varētu paplašināties ārpus Ukrainas robežām. PCloud failu krātuves pakalpojuma analīze ir atklājusi vairāk nekā tūkstoti EXE un MSI failu, kas augšupielādēti kopš 1. augusta, un daži no tiem var būt saistīti ar šo plašāko kampaņu.
6.augustā Ukraina veica negaidītu uzbrukumu Kurskas apgabalā. Pirmo reizi augsta ranga militārais komandieris publiski apstiprināja, ka Kijevas spēki tagad kontrolē vairāk nekā 1000 kvadrātkilometrus (apmēram 386 kvadrātjūdzes) Krievijas teritorijas.
Nesenā pikšķerēšanas kampaņa, kurā valdības datorsistēmās tika izvietota aizmugures ļaunprātīga programmatūra, sakrita ar šo nozīmīgo Ukrainas ofensīvu. Taču Kijeva šos mērķtiecīgos uzbrukumus nav tieši attiecinājusi uz Krieviju vai tās kiberoperācijām. Tā vietā kampaņa ir saistīta ar apdraudējuma dalībnieku, kas identificēts kā UAC-0198.
Iepriekš Krievijas hakeri izmantoja līdzīgu taktiku, izmantojot likumīgu attālinātās uzraudzības un pārvaldības (RMM) programmatūru, lai izspiegotu Ukrainu un tās sabiedrotos. Viņi slēpa ļaunprātīgus skriptus, kas nepieciešami, lai lejupielādētu un izpildītu RMM programmatūru Microsoft spēles “Minesweeper” likumīgajā Python kodā.
