MeshAgent
Lebih 100 komputer kerajaan negeri dan tempatan Ukraine telah dikompromi oleh perisian hasad MeshAgent dalam kempen pancingan data yang mengeksploitasi keyakinan terhadap Perkhidmatan Keselamatan Ukraine (SBU).
Serangan itu melibatkan e-mel yang nampaknya datang daripada SBU, mengandungi pautan untuk memuat turun fail berlabel 'Documents.zip.'
Walau bagaimanapun, mengklik pautan memuat turun fail Pemasang Perisian Microsoft (MSI) sebaliknya, seperti 'Scan_docs#40562153.msi.' Membuka fail MSI ini mencetuskan pemasangan ANONVNC, juga dikenali sebagai perisian hasad MeshAgent, yang berpotensi membenarkan penyerang akses rahsia dan tanpa kebenaran kepada sistem yang terjejas.
Isi kandungan
Penyerang Mungkin Telah Mengeksploitasi Alat Sumber Terbuka
Perisian hasad ANONVNC, seperti yang dianalisis oleh penyelidik keselamatan, menampilkan fail konfigurasi yang hampir sama dengan alat perisian MeshAgent.
MeshAgent terutamanya alat pengurusan jauh yang direka untuk berfungsi dengan platform sumber terbuka MeshCentral. Ia menyokong pelbagai sistem pengendalian, termasuk Windows, Linux, macOS dan FreeBSD. Walaupun MeshAgent sendiri sebenarnya tidak berniat jahat, penjenayah siber telah mengeksploitasinya untuk mencipta pintu belakang pada titik akhir yang terjejas, membolehkan akses jauh melalui alat seperti VNC, RDP atau SSH.
Baru-baru ini, penyelidik keselamatan telah memerhatikan peningkatan dalam penyalahgunaan MeshAgent oleh penyerang untuk mengekalkan kegigihan pada sistem yang terjejas dan melaksanakan arahan jauh.
Mengapa Penjenayah Siber Merampas Alat MeshAgent?
- Sambungan Lancar: Selepas pemasangan, MeshCentral secara automatik mewujudkan sambungan dengan titik akhir tanpa memerlukan sebarang interaksi pengguna.
- Akses Tanpa Kebenaran : MeshCentral boleh mengakses MeshAgent sama ada secara langsung atau melalui Protokol Desktop Jauh (RDP), memintas keperluan untuk kebenaran dari titik akhir.
- Kawalan Sistem : Ia mempunyai keupayaan untuk membangunkan, memulakan semula atau menutup titik akhir dari jauh.
- Perintah dan Kawalan : MeshCentral berfungsi sebagai pelayan arahan, membolehkannya melaksanakan arahan shell dan memindahkan fail pada titik akhir tanpa kesedaran pengguna.
- Operasi Tidak Dapat Kesan : Tindakan yang dilakukan oleh MeshCentral beroperasi di bawah akaun NT AUTHORITY\SYSTEM, yang membantu mereka bergabung dengan proses latar belakang biasa.
- Cincang Fail Unik : Setiap contoh MeshAgent dijana secara unik, yang menjadikannya sukar untuk dikesan melalui cincang fail sahaja.
Pakar Memberi Amaran tentang Kemungkinan Kempen Mengancam Yang Lebih Besar
Penyelidik percaya bahawa kempen terbaharu ini bermula pada Julai 2024 dan mungkin melangkaui sempadan Ukraine. Analisis perkhidmatan storan fail pCloud telah menemui lebih seribu fail EXE dan MSI yang dimuat naik sejak 1 Ogos, beberapa daripadanya mungkin dikaitkan dengan kempen yang lebih luas ini.
Pada 6 Ogos, Ukraine melancarkan serangan mengejut di wilayah Kursk. Buat pertama kalinya, seorang komander kanan tentera secara terbuka mengesahkan bahawa tentera Kyiv kini menguasai lebih 1,000 kilometer persegi (kira-kira 386 batu persegi) wilayah Rusia.
Kempen pancingan data baru-baru ini, yang menggunakan perisian hasad pintu belakang pada sistem komputer kerajaan, bertepatan dengan serangan besar Ukraine ini. Walau bagaimanapun, Kyiv tidak secara langsung mengaitkan serangan yang disasarkan ini kepada Rusia atau operasi sibernya. Sebaliknya, kempen itu telah dikaitkan dengan pelakon ancaman yang dikenal pasti sebagai UAC-0198.
Sebelum ini, penggodam Rusia telah menggunakan taktik serupa, memanfaatkan perisian pemantauan dan pengurusan jauh (RMM) yang sah untuk mengintip Ukraine dan sekutunya. Mereka menyembunyikan skrip berniat jahat yang diperlukan untuk memuat turun dan melaksanakan perisian RMM dalam kod Python yang sah bagi permainan 'Minesweeper' Microsoft.
