MeshAgent

100 ਤੋਂ ਵੱਧ ਯੂਕਰੇਨੀ ਰਾਜ ਅਤੇ ਸਥਾਨਕ ਸਰਕਾਰਾਂ ਦੇ ਕੰਪਿਊਟਰਾਂ ਨਾਲ ਇੱਕ ਫਿਸ਼ਿੰਗ ਮੁਹਿੰਮ ਵਿੱਚ MeshAgent ਮਾਲਵੇਅਰ ਦੁਆਰਾ ਸਮਝੌਤਾ ਕੀਤਾ ਗਿਆ ਹੈ ਜਿਸ ਨੇ ਯੂਕਰੇਨ ਦੀ ਸੁਰੱਖਿਆ ਸੇਵਾ (SBU) ਵਿੱਚ ਵਿਸ਼ਵਾਸ ਦਾ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਹੈ।

ਹਮਲੇ ਵਿੱਚ ਐਸਬੀਯੂ ਤੋਂ ਆਈਆਂ ਜਾਪਦੀਆਂ ਈਮੇਲਾਂ ਸ਼ਾਮਲ ਸਨ, ਜਿਸ ਵਿੱਚ 'Documents.zip' ਲੇਬਲ ਵਾਲੀ ਇੱਕ ਫਾਈਲ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ ਇੱਕ ਲਿੰਕ ਸ਼ਾਮਲ ਸੀ।

ਹਾਲਾਂਕਿ, ਲਿੰਕ 'ਤੇ ਕਲਿੱਕ ਕਰਨ ਨਾਲ ਇਸਦੀ ਬਜਾਏ ਇੱਕ Microsoft ਸੌਫਟਵੇਅਰ ਇੰਸਟੌਲਰ (MSI) ਫਾਈਲ ਡਾਊਨਲੋਡ ਹੋ ਜਾਂਦੀ ਹੈ, ਜਿਵੇਂ ਕਿ 'Scan_docs#40562153.msi'। ਇਸ MSI ਫਾਈਲ ਨੂੰ ਖੋਲ੍ਹਣ ਨਾਲ ANONVNC ਦੀ ਸਥਾਪਨਾ ਸ਼ੁਰੂ ਹੋ ਗਈ, ਜਿਸਨੂੰ MeshAgent ਮਾਲਵੇਅਰ ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਹਮਲਾਵਰਾਂ ਨੂੰ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮਾਂ ਤੱਕ ਗੁਪਤ ਅਤੇ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ।

ਹਮਲਾਵਰਾਂ ਨੇ ਇੱਕ ਓਪਨ-ਸੋਰਸ ਟੂਲ ਦਾ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਹੋ ਸਕਦਾ ਹੈ

ANONVNC ਮਾਲਵੇਅਰ, ਜਿਵੇਂ ਕਿ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਵਿਸ਼ਲੇਸ਼ਣ ਕੀਤਾ ਗਿਆ ਹੈ, ਇੱਕ ਸੰਰਚਨਾ ਫਾਈਲ ਦੀ ਵਿਸ਼ੇਸ਼ਤਾ ਰੱਖਦਾ ਹੈ ਜੋ MeshAgent ਸਾਫਟਵੇਅਰ ਟੂਲ ਦੇ ਨਾਲ ਮਿਲਦੀ-ਜੁਲਦੀ ਹੈ।

MeshAgent ਮੁੱਖ ਤੌਰ 'ਤੇ ਇੱਕ ਰਿਮੋਟ ਪ੍ਰਬੰਧਨ ਟੂਲ ਹੈ ਜੋ ਓਪਨ-ਸੋਰਸ ਪਲੇਟਫਾਰਮ MeshCentral ਨਾਲ ਕੰਮ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹ ਵਿੰਡੋਜ਼, ਲੀਨਕਸ, ਮੈਕੋਸ, ਅਤੇ ਫ੍ਰੀਬੀਐਸਡੀ ਸਮੇਤ ਕਈ ਓਪਰੇਟਿੰਗ ਸਿਸਟਮਾਂ ਨੂੰ ਬਰਕਰਾਰ ਰੱਖਦਾ ਹੈ। ਜਦੋਂ ਕਿ MeshAgent ਖੁਦ ਕੁਦਰਤੀ ਤੌਰ 'ਤੇ ਖਤਰਨਾਕ ਨਹੀਂ ਹੈ, ਸਾਈਬਰ ਅਪਰਾਧੀ ਸਮਝੌਤਾ ਕੀਤੇ ਅੰਤਮ ਬਿੰਦੂਆਂ 'ਤੇ ਬੈਕਡੋਰ ਬਣਾਉਣ ਲਈ ਇਸਦਾ ਸ਼ੋਸ਼ਣ ਕਰ ਰਹੇ ਹਨ, VNC, RDP, ਜਾਂ SSH ਵਰਗੇ ਟੂਲਸ ਦੁਆਰਾ ਰਿਮੋਟ ਐਕਸੈਸ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਣ ਲਈ।

ਹਾਲ ਹੀ ਵਿੱਚ, ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮਾਂ 'ਤੇ ਨਿਰੰਤਰਤਾ ਬਣਾਈ ਰੱਖਣ ਅਤੇ ਰਿਮੋਟ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ ਲਈ ਹਮਲਾਵਰਾਂ ਦੁਆਰਾ MeshAgent ਦੀ ਦੁਰਵਰਤੋਂ ਵਿੱਚ ਵਾਧਾ ਦੇਖਿਆ ਹੈ।

ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਨੇ ਮੇਸ਼ਏਜੈਂਟ ਟੂਲ ਨੂੰ ਹਾਈਜੈਕ ਕਿਉਂ ਕੀਤਾ?

• ਸਹਿਜ ਕਨੈਕਸ਼ਨ: ਇੰਸਟਾਲੇਸ਼ਨ ਤੋਂ ਬਾਅਦ, MeshCentral ਆਪਣੇ ਆਪ ਹੀ ਅੰਤਮ ਬਿੰਦੂਆਂ ਨਾਲ ਬਿਨਾਂ ਕਿਸੇ ਉਪਭੋਗਤਾ ਦੀ ਗੱਲਬਾਤ ਦੀ ਲੋੜ ਦੇ ਕਨੈਕਸ਼ਨ ਸਥਾਪਤ ਕਰਦਾ ਹੈ।
• ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ : MeshCentral ਅੰਤਮ ਬਿੰਦੂ ਤੋਂ ਇਜਾਜ਼ਤ ਦੀ ਲੋੜ ਨੂੰ ਛੱਡ ਕੇ, ਸਿੱਧੇ ਜਾਂ ਰਿਮੋਟ ਡੈਸਕਟਾਪ ਪ੍ਰੋਟੋਕੋਲ (RDP) ਰਾਹੀਂ MeshAgent ਤੱਕ ਪਹੁੰਚ ਕਰ ਸਕਦਾ ਹੈ।
• ਸਿਸਟਮ ਨਿਯੰਤਰਣ : ਇਸ ਵਿੱਚ ਰਿਮੋਟਲੀ ਐਂਡਪੁਆਇੰਟ ਨੂੰ ਜਗਾਉਣ, ਮੁੜ ਚਾਲੂ ਕਰਨ ਜਾਂ ਬੰਦ ਕਰਨ ਦੀ ਸਮਰੱਥਾ ਹੈ।
• ਕਮਾਂਡ ਅਤੇ ਨਿਯੰਤਰਣ : ਮੇਸ਼ਸੈਂਟਰਲ ਇੱਕ ਕਮਾਂਡ ਸਰਵਰ ਦੇ ਤੌਰ ਤੇ ਕੰਮ ਕਰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਇਸਨੂੰ ਉਪਭੋਗਤਾ ਦੀ ਜਾਗਰੂਕਤਾ ਤੋਂ ਬਿਨਾਂ ਅੰਤਮ ਬਿੰਦੂ 'ਤੇ ਸ਼ੈੱਲ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ ਅਤੇ ਫਾਈਲਾਂ ਨੂੰ ਟ੍ਰਾਂਸਫਰ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ।
• ਅਣਪਛਾਣਯੋਗ ਓਪਰੇਸ਼ਨ : MeshCentral ਦੁਆਰਾ ਕੀਤੀਆਂ ਗਈਆਂ ਕਾਰਵਾਈਆਂ NT AUTHORITY\SYSTEM ਖਾਤੇ ਦੇ ਅਧੀਨ ਕੰਮ ਕਰਦੀਆਂ ਹਨ, ਜੋ ਉਹਨਾਂ ਨੂੰ ਆਮ ਬੈਕਗ੍ਰਾਊਂਡ ਪ੍ਰਕਿਰਿਆਵਾਂ ਨਾਲ ਮਿਲਾਉਣ ਵਿੱਚ ਮਦਦ ਕਰਦੀ ਹੈ।
• ਵਿਲੱਖਣ ਫਾਈਲ ਹੈਸ਼ : MeshAgent ਦੀ ਹਰੇਕ ਉਦਾਹਰਣ ਵਿਲੱਖਣ ਤੌਰ 'ਤੇ ਤਿਆਰ ਕੀਤੀ ਜਾਂਦੀ ਹੈ, ਜਿਸ ਨਾਲ ਇਕੱਲੇ ਫਾਈਲ ਹੈਸ਼ਾਂ ਦੁਆਰਾ ਖੋਜਣਾ ਮੁਸ਼ਕਲ ਹੁੰਦਾ ਹੈ।

ਮਾਹਰ ਇੱਕ ਵੱਡੀ ਧਮਕੀ ਮੁਹਿੰਮ ਦੀ ਸੰਭਾਵਨਾ ਬਾਰੇ ਚੇਤਾਵਨੀ ਦਿੰਦੇ ਹਨ

ਖੋਜਕਰਤਾਵਾਂ ਦਾ ਮੰਨਣਾ ਹੈ ਕਿ ਇਹ ਨਵੀਨਤਮ ਮੁਹਿੰਮ ਜੁਲਾਈ 2024 ਵਿੱਚ ਸ਼ੁਰੂ ਹੋਈ ਸੀ ਅਤੇ ਯੂਕਰੇਨ ਦੀਆਂ ਸਰਹੱਦਾਂ ਤੋਂ ਬਾਹਰ ਹੋ ਸਕਦੀ ਹੈ। pCloud ਫਾਈਲ ਸਟੋਰੇਜ ਸੇਵਾ ਦੇ ਵਿਸ਼ਲੇਸ਼ਣ ਨੇ ਅਗਸਤ 1 ਤੋਂ ਅਪਲੋਡ ਕੀਤੀਆਂ ਇੱਕ ਹਜ਼ਾਰ ਤੋਂ ਵੱਧ EXE ਅਤੇ MSI ਫਾਈਲਾਂ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ, ਜਿਨ੍ਹਾਂ ਵਿੱਚੋਂ ਕੁਝ ਇਸ ਵਿਆਪਕ ਮੁਹਿੰਮ ਨਾਲ ਜੁੜੀਆਂ ਹੋ ਸਕਦੀਆਂ ਹਨ।

6 ਅਗਸਤ ਨੂੰ, ਯੂਕਰੇਨ ਨੇ ਕੁਰਸਕ ਖੇਤਰ ਵਿੱਚ ਅਚਾਨਕ ਹਮਲਾ ਕੀਤਾ। ਪਹਿਲੀ ਵਾਰ, ਇੱਕ ਸੀਨੀਅਰ ਫੌਜੀ ਕਮਾਂਡਰ ਨੇ ਜਨਤਕ ਤੌਰ 'ਤੇ ਪੁਸ਼ਟੀ ਕੀਤੀ ਕਿ ਕੀਵ ਦੀਆਂ ਫੌਜਾਂ ਹੁਣ ਰੂਸੀ ਖੇਤਰ ਦੇ 1,000 ਵਰਗ ਕਿਲੋਮੀਟਰ (ਲਗਭਗ 386 ਵਰਗ ਮੀਲ) ਉੱਤੇ ਕੰਟਰੋਲ ਕਰਦੀਆਂ ਹਨ।

ਹਾਲੀਆ ਫਿਸ਼ਿੰਗ ਮੁਹਿੰਮ, ਜਿਸ ਨੇ ਸਰਕਾਰੀ ਕੰਪਿਊਟਰ ਸਿਸਟਮਾਂ 'ਤੇ ਬੈਕਡੋਰ ਮਾਲਵੇਅਰ ਤਾਇਨਾਤ ਕੀਤਾ ਸੀ, ਇਸ ਮਹੱਤਵਪੂਰਨ ਯੂਕਰੇਨੀ ਹਮਲੇ ਨਾਲ ਮੇਲ ਖਾਂਦਾ ਹੈ। ਹਾਲਾਂਕਿ, ਕੀਵ ਨੇ ਇਨ੍ਹਾਂ ਨਿਸ਼ਾਨਾ ਹਮਲਿਆਂ ਨੂੰ ਸਿੱਧੇ ਤੌਰ 'ਤੇ ਰੂਸ ਜਾਂ ਇਸਦੇ ਸਾਈਬਰ ਕਾਰਜਾਂ ਨੂੰ ਜ਼ਿੰਮੇਵਾਰ ਨਹੀਂ ਠਹਿਰਾਇਆ ਹੈ। ਇਸ ਦੀ ਬਜਾਏ, ਮੁਹਿੰਮ ਨੂੰ UAC-0198 ਵਜੋਂ ਪਛਾਣੇ ਗਏ ਇੱਕ ਧਮਕੀ ਅਦਾਕਾਰ ਨਾਲ ਜੋੜਿਆ ਗਿਆ ਹੈ।

ਪਹਿਲਾਂ, ਰੂਸੀ ਹੈਕਰਾਂ ਨੇ ਯੂਕਰੇਨ ਅਤੇ ਇਸਦੇ ਸਹਿਯੋਗੀਆਂ 'ਤੇ ਜਾਸੂਸੀ ਕਰਨ ਲਈ ਜਾਇਜ਼ ਰਿਮੋਟ ਨਿਗਰਾਨੀ ਅਤੇ ਪ੍ਰਬੰਧਨ (RMM) ਸੌਫਟਵੇਅਰ ਦਾ ਲਾਭ ਉਠਾਉਂਦੇ ਹੋਏ, ਸਮਾਨ ਰਣਨੀਤੀਆਂ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਹੈ। ਉਹਨਾਂ ਨੇ ਮਾਈਕ੍ਰੋਸਾਫਟ ਦੀ 'ਮਾਈਨਸਵੀਪਰ' ਗੇਮ ਦੇ ਜਾਇਜ਼ ਪਾਇਥਨ ਕੋਡ ਦੇ ਅੰਦਰ RMM ਸੌਫਟਵੇਅਰ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਅਤੇ ਚਲਾਉਣ ਲਈ ਲੋੜੀਂਦੀਆਂ ਖਤਰਨਾਕ ਸਕ੍ਰਿਪਟਾਂ ਨੂੰ ਛੁਪਾਇਆ।