MeshAgent
100 भन्दा बढी युक्रेनी राज्य र स्थानीय सरकारी कम्प्युटरहरू MeshAgent मालवेयरले फिसिङ अभियानमा सम्झौता गरेको छ जसले युक्रेनको सुरक्षा सेवा (SBU) मा विश्वासको शोषण गरेको छ।
आक्रमणमा SBU बाट आएका इमेलहरू समावेश थिए, जसमा 'Documents.zip' नामक फाइल डाउनलोड गर्न लिङ्क रहेको थियो।
यद्यपि, लिङ्क क्लिक गर्दा यसको सट्टामा Microsoft Software Installer (MSI) फाइल डाउनलोड हुन्छ, जस्तै 'Scan_docs#40562153.msi'। यो MSI फाइल खोल्दा ANONVNC को स्थापना सुरु भयो, जसलाई MeshAgent मालवेयर पनि भनिन्छ, जसले सम्भावित रूपमा आक्रमणकारीहरूलाई सम्झौता गरिएका प्रणालीहरूमा गुप्त र अनधिकृत पहुँच अनुमति दिन्छ।
सामग्रीको तालिका
आक्रमणकारीहरूले खुला स्रोत उपकरणको दुरुपयोग गरेको हुन सक्छ
ANONVNC मालवेयर, सुरक्षा अनुसन्धानकर्ताहरूले विश्लेषण गरे अनुसार, कन्फिगरेसन फाइल फिचर गर्दछ जुन MeshAgent सफ्टवेयर उपकरणसँग मिल्दोजुल्दो छ।
MeshAgent मुख्य रूपमा खुला स्रोत प्लेटफर्म MeshCentral सँग काम गर्न डिजाइन गरिएको रिमोट व्यवस्थापन उपकरण हो। यसले Windows, Linux, macOS, र FreeBSD सहित विभिन्न अपरेटिङ सिस्टमहरूलाई समर्थन गर्दछ। जबकि MeshAgent आफैंमा स्वाभाविक रूपमा दुर्भावनापूर्ण छैन, साइबर अपराधीहरूले यसलाई VNC, RDP, वा SSH जस्ता उपकरणहरू मार्फत रिमोट पहुँच सक्षम पार्दै, सम्झौता गरिएको अन्तिम बिन्दुहरूमा ब्याकडोरहरू सिर्जना गर्न शोषण गरिरहेका छन्।
हालसालै, सुरक्षा अनुसन्धानकर्ताहरूले सम्झौता प्रणालीहरूमा दृढता कायम राख्न र रिमोट आदेशहरू कार्यान्वयन गर्न आक्रमणकारीहरूद्वारा MeshAgent को दुरुपयोगमा वृद्धि भएको देखेका छन्।
किन साइबर अपराधीहरूले MeshAgent उपकरण अपहरण गरे?
- सिमलेस जडान: स्थापना पछि, MeshCentral ले स्वचालित रूपमा अन्त बिन्दुहरूसँग कुनै पनि प्रयोगकर्ता अन्तरक्रियाको आवश्यकता बिना जडानहरू स्थापना गर्दछ।
- अनाधिकृत पहुँच : MeshCentral ले MeshAgent लाई प्रत्यक्ष वा रिमोट डेस्कटप प्रोटोकल (RDP) मार्फत पहुँच गर्न सक्छ, अन्तिम बिन्दुबाट अनुमतिको आवश्यकतालाई बाइपास गर्दै।
- प्रणाली नियन्त्रण : योसँग रिमोटबाट अन्त्य बिन्दुहरू उठाउन, पुन: सुरु गर्न वा बन्द गर्ने क्षमता छ।
- कमाण्ड र कन्ट्रोल : MeshCentral ले कमाण्ड सर्भरको रूपमा कार्य गर्दछ, यसले शेल आदेशहरू कार्यान्वयन गर्न र प्रयोगकर्ताको जागरूकता बिना अन्तिम बिन्दुमा फाइलहरू स्थानान्तरण गर्न अनुमति दिन्छ।
- पत्ता लगाउन नसकिने कार्यहरू : MeshCentral द्वारा गरिएका कार्यहरू NT AUTHORITY\SYSTEM खाता अन्तर्गत सञ्चालन हुन्छन्, जसले तिनीहरूलाई सामान्य पृष्ठभूमि प्रक्रियाहरूसँग मिलाउन मद्दत गर्छ।
- अद्वितीय फाइल ह्यासहरू : MeshAgent को प्रत्येक उदाहरण अद्वितीय रूपमा उत्पन्न हुन्छ, जसले फाइल ह्यासहरू मार्फत मात्र पत्ता लगाउन गाह्रो बनाउँछ।
विज्ञहरूले ठूलो धम्कीपूर्ण अभियानको सम्भावनाको बारेमा चेतावनी दिए
अन्वेषकहरू विश्वास गर्छन् कि यो पछिल्लो अभियान जुलाई 2024 मा सुरु भयो र युक्रेनको सिमाना बाहिर विस्तार हुन सक्छ। pCloud फाइल भण्डारण सेवाको विश्लेषणले अगस्ट 1 देखि अपलोड गरिएका एक हजार भन्दा बढी EXE र MSI फाइलहरू उजागर गरेको छ, जसमध्ये केही यस फराकिलो अभियानसँग सम्बन्धित हुन सक्छन्।
अगस्ट ६ मा युक्रेनले कुर्स्क क्षेत्रमा अप्रत्याशित आक्रमण गरेको थियो। पहिलो पटक, एक वरिष्ठ सैन्य कमाण्डरले सार्वजनिक रूपमा पुष्टि गरे कि कीभको सेनाले अब रुसी क्षेत्रको 1,000 वर्ग किलोमिटर (लगभग 386 वर्ग माइल) नियन्त्रण गर्दछ।
भर्खरको फिसिङ अभियान, जसले सरकारी कम्प्युटर प्रणालीहरूमा ब्याकडोर मालवेयर तैनाथ गर्यो, यो महत्त्वपूर्ण युक्रेनी आक्रमणसँग मेल खायो। यद्यपि, कीभले यी लक्षित आक्रमणहरूको प्रत्यक्ष श्रेय रूस वा यसको साइबर अपरेसनहरूलाई दिएको छैन। यसको सट्टा, अभियान UAC-0198 को रूपमा पहिचान गरिएको खतरा अभिनेतासँग जोडिएको छ।
यसअघि, रुसी ह्याकरहरूले युक्रेन र यसका सहयोगीहरूलाई जासुसी गर्न वैध रिमोट मोनिटरिङ एण्ड म्यानेजमेन्ट (RMM) सफ्टवेयरको फाइदा उठाउँदै यस्तै रणनीतिहरू प्रयोग गरेका थिए। तिनीहरूले Microsoft को 'Minesweeper' खेलको वैध पाइथन कोड भित्र RMM सफ्टवेयर डाउनलोड र कार्यान्वयन गर्न आवश्यक खराब स्क्रिप्टहरू लुकाए।
