MeshAgent

Over 100 ukrainske statlige og lokale myndighetsdatamaskiner har blitt kompromittert av MeshAgent malware i en phishing-kampanje som utnyttet tilliten til Ukrainas sikkerhetstjeneste (SBU).

Angrepet involverte e-poster som så ut til å komme fra SBU, som inneholdt en lenke for å laste ned en fil merket 'Documents.zip'.

Ved å klikke på koblingen ble det imidlertid lastet ned en Microsoft Software Installer-fil (MSI), for eksempel 'Scan_docs#40562153.msi.' Åpning av denne MSI-filen utløste installasjonen av ANONVNC, også kjent som MeshAgent malware, som potensielt tillot angripere skjult og uautorisert tilgang til de kompromitterte systemene.

Angriperne kan ha utnyttet et åpen kildekodeverktøy

ANONVNC-malwaren, som analysert av sikkerhetsforskere, har en konfigurasjonsfil som ligner mye på MeshAgent-programvareverktøyet.

MeshAgent er først og fremst et eksternt administrasjonsverktøy designet for å fungere med åpen kildekode-plattformen MeshCentral. Den opprettholder forskjellige operativsystemer, inkludert Windows, Linux, macOS og FreeBSD. Selv om MeshAgent ikke i seg selv er ondsinnet, har nettkriminelle utnyttet det til å lage bakdører på kompromitterte endepunkter, noe som muliggjør ekstern tilgang via verktøy som VNC, RDP eller SSH.

Nylig har sikkerhetsforskere observert en økning i misbruk av MeshAgent av angripere for å opprettholde utholdenhet på kompromitterte systemer og utføre eksterne kommandoer.

Hvorfor nettkriminelle kapret MeshAgent-verktøyet?

• Sømløs tilkobling: Etter installasjonen oppretter MeshCentral automatisk tilkoblinger med endepunkter uten å trenge brukerinteraksjon.
• Uautorisert tilgang : MeshCentral kan få tilgang til MeshAgent enten direkte eller gjennom Remote Desktop Protocol (RDP), og omgå behovet for tillatelse fra endepunktet.
• Systemkontroll : Den har muligheten til å vekke, starte på nytt eller slå av endepunkter eksternt.
• Kommando og kontroll : MeshCentral fungerer som en kommandoserver, slik at den kan utføre skallkommandoer og overføre filer på endepunktet uten brukerens bevissthet.
• Uoppdagbare operasjoner : Handlinger utført av MeshCentral opererer under NT AUTHORITY\SYSTEM-kontoen, som hjelper dem å blande seg inn i vanlige bakgrunnsprosesser.
• Unike filhasher : Hver forekomst av MeshAgent er unikt generert, noe som gjør det vanskelig å oppdage gjennom filhasher alene.

Eksperter advarer om muligheten for en større trusselkampanje

Forskere tror at denne siste kampanjen startet i juli 2024 og kan strekke seg utover Ukrainas grenser. Analyse av fillagringstjenesten pCloud har avdekket over tusen EXE- og MSI-filer lastet opp siden 1. august, hvorav noen kan være assosiert med denne bredere kampanjen.

6. august satte Ukraina i gang et overraskelsesangrep i Kursk-regionen. For første gang bekreftet en senior militærsjef offentlig at Kyivs styrker nå kontrollerer over 1000 kvadratkilometer (omtrent 386 kvadrat miles) av russisk territorium.

Den nylige phishing-kampanjen, som distribuerte bakdørs malware på offentlige datasystemer, falt sammen med denne betydelige ukrainske offensiven. Kyiv har imidlertid ikke direkte tilskrevet disse målrettede angrepene til Russland eller dets cyberoperasjoner. I stedet har kampanjen blitt knyttet til en trusselaktør identifisert som UAC-0198.

Tidligere har russiske hackere brukt lignende taktikker og utnyttet legitim programvare for fjernovervåking og administrasjon (RMM) for å spionere på Ukraina og dets allierte. De skjulte ondsinnede skript som trengs for å laste ned og kjøre RMM-programvaren innenfor den legitime Python-koden til Microsofts 'Minesveiper'-spill.