MeshAgent
Meer dan 100 computers van de Oekraïense staat en lokale overheid zijn gecompromitteerd door de MeshAgent-malware in een phishingcampagne die misbruik maakte van het vertrouwen in de Oekraïense Veiligheidsdienst (SBU).
De aanval vond plaats via e-mails die afkomstig leken te zijn van de SBU. Ze bevatten een link om een bestand met de naam 'Documents.zip' te downloaden.
Als u echter op de koppeling klikt, wordt er een Microsoft Software Installer-bestand (MSI) gedownload, bijvoorbeeld 'Scan_docs#40562153.msi'. Als u dit MSI-bestand opent, wordt ANONVNC geïnstalleerd, ook wel bekend als MeshAgent-malware. Hiermee kunnen aanvallers mogelijk heimelijk en ongeautoriseerd toegang krijgen tot de gecompromitteerde systemen.
Inhoudsopgave
De aanvallers hebben mogelijk misbruik gemaakt van een open-sourcetool
Beveiligingsonderzoekers hebben de ANONVNC-malware geanalyseerd en daarbij bleek dat het configuratiebestand sterk lijkt op dat van de MeshAgent-softwaretool.
MeshAgent is voornamelijk een tool voor extern beheer die is ontworpen om te werken met het open-sourceplatform MeshCentral. Het ondersteunt verschillende besturingssystemen, waaronder Windows, Linux, macOS en FreeBSD. Hoewel MeshAgent zelf niet inherent kwaadaardig is, hebben cybercriminelen het misbruikt om backdoors te creëren op gecompromitteerde eindpunten, waardoor externe toegang mogelijk is via tools zoals VNC, RDP of SSH.
Beveiligingsonderzoekers hebben onlangs een toename waargenomen in het misbruik van MeshAgent door aanvallers om persistentie te behouden op gecompromitteerde systemen en om externe opdrachten uit te voeren.
Waarom hebben cybercriminelen de MeshAgent-tool gekaapt?
- Naadloze verbinding: Na de installatie maakt MeshCentral automatisch verbindingen met eindpunten zonder dat er enige interactie van de gebruiker nodig is.
- Ongeautoriseerde toegang : MeshCentral kan rechtstreeks of via Remote Desktop Protocol (RDP) toegang krijgen tot MeshAgent, waardoor de noodzaak voor toestemming van het eindpunt wordt omzeild.
- Systeembeheer : biedt de mogelijkheid om eindpunten op afstand te activeren, opnieuw op te starten of af te sluiten.
- Commando en controle : MeshCentral functioneert als een commandoserver, waardoor het shell-opdrachten kan uitvoeren en bestanden op het eindpunt kan overdragen zonder dat de gebruiker dit merkt.
- Niet-detecteerbare bewerkingen : acties die door MeshCentral worden uitgevoerd, worden uitgevoerd onder het NT AUTHORITY\SYSTEM-account, waardoor ze opgaan in normale achtergrondprocessen.
- Unieke bestands-hashes : elk exemplaar van MeshAgent wordt uniek gegenereerd, waardoor het lastig is om deze alleen via bestands-hashes te detecteren.
Deskundigen waarschuwen voor de mogelijkheid van een grotere dreigementcampagne
Onderzoekers geloven dat deze laatste campagne begon in juli 2024 en mogelijk verder reikt dan de grenzen van Oekraïne. Analyse van de pCloud-bestandsopslagservice heeft meer dan duizend EXE- en MSI-bestanden blootgelegd die sinds 1 augustus zijn geüpload, waarvan sommige mogelijk verband houden met deze bredere campagne.
Op 6 augustus lanceerde Oekraïne een verrassingsaanval in de regio Koersk. Voor het eerst bevestigde een hoge militaire commandant publiekelijk dat de troepen van Kiev nu meer dan 1.000 vierkante kilometer (ongeveer 386 vierkante mijl) Russisch grondgebied controleren.
De recente phishingcampagne, die backdoor-malware op overheidscomputersystemen plaatste, viel samen met dit belangrijke Oekraïense offensief. Kiev heeft deze gerichte aanvallen echter niet rechtstreeks aan Rusland of zijn cyberoperaties toegeschreven. In plaats daarvan is de campagne gekoppeld aan een dreigingsactor die is geïdentificeerd als UAC-0198.
Eerder hebben Russische hackers vergelijkbare tactieken gebruikt, waarbij ze legitieme remote monitoring and management (RMM) software gebruikten om Oekraïne en zijn bondgenoten te bespioneren. Ze verborgen kwaadaardige scripts die nodig waren om de RMM-software te downloaden en uit te voeren in de legitieme Python-code van Microsoft's 'Minesweeper'-game.
