MeshAgent

Ponad 100 komputerów ukraińskich urzędów państwowych i lokalnych zostało zainfekowanych złośliwym oprogramowaniem MeshAgent w ramach kampanii phishingowej, która wykorzystała zaufanie do Służby Bezpieczeństwa Ukrainy (SBU).

Atak polegał na rozsyłaniu wiadomości e-mail, które prawdopodobnie pochodziły od SBU i zawierały link umożliwiający pobranie pliku o nazwie „Documents.zip”.

Jednak kliknięcie łącza spowodowało pobranie pliku instalatora oprogramowania firmy Microsoft (MSI), takiego jak „Scan_docs#40562153.msi”. Otwarcie pliku MSI spowodowało instalację złośliwego oprogramowania ANONVNC, znanego również jako MeshAgent, co potencjalnie umożliwiło atakującym ukryty i nieautoryzowany dostęp do zainfekowanych systemów.

Napastnicy mogli wykorzystać narzędzie typu open source

Złośliwe oprogramowanie ANONVNC, według analizy przeprowadzonej przez analityków ds. bezpieczeństwa, charakteryzuje się plikiem konfiguracyjnym, który bardzo przypomina plik konfiguracyjny narzędzia programowego MeshAgent.

MeshAgent to przede wszystkim narzędzie do zdalnego zarządzania zaprojektowane do pracy z platformą open source MeshCentral. Obsługuje różne systemy operacyjne, w tym Windows, Linux, macOS i FreeBSD. Chociaż sam MeshAgent nie jest z natury złośliwy, cyberprzestępcy wykorzystują go do tworzenia tylnych drzwi na zainfekowanych punktach końcowych, umożliwiając zdalny dostęp za pomocą narzędzi takich jak VNC, RDP lub SSH.

Ostatnio badacze ds. bezpieczeństwa zaobserwowali wzrost liczby przypadków niewłaściwego wykorzystania MeshAgent przez atakujących w celu utrzymania trwałości w zainfekowanych systemach i wykonywania poleceń zdalnych.

Dlaczego cyberprzestępcy przejęli narzędzie MeshAgent?

• Bezproblemowe połączenie: po instalacji MeshCentral automatycznie nawiązuje połączenia z punktami końcowymi bez konieczności jakiejkolwiek interakcji ze strony użytkownika.
• Nieautoryzowany dostęp : MeshCentral może uzyskać dostęp do MeshAgent bezpośrednio lub za pomocą protokołu RDP (Remote Desktop Protocol), omijając potrzebę uzyskania zezwolenia od punktu końcowego.
• Kontrola systemu : umożliwia zdalne wybudzanie, ponowne uruchamianie i wyłączanie punktów końcowych.
• Polecenia i kontrola : MeshCentral pełni funkcję serwera poleceń, umożliwiając wykonywanie poleceń powłoki i przesyłanie plików na punkt końcowy bez wiedzy użytkownika.
• Operacje nie do wykrycia : Akcje wykonywane przez MeshCentral działają w ramach konta NT AUTHORITY\SYSTEM, co pozwala im wtopić się w normalne procesy działające w tle.
• Unikalne skróty plików : Każda instancja MeshAgent jest generowana unikatowo, co utrudnia jej wykrycie wyłącznie na podstawie skrótów plików.
• Phishing i unikanie zapór sieciowych : Atakujący często dystrybuują MeshAgent za pośrednictwem wiadomości e-mail phishingowych. Korzystanie z typowych portów, takich jak 80 i 443, do komunikacji zwiększa szanse na uniknięcie wykrycia przez zapory sieciowe.

Eksperci ostrzegają przed możliwością większej groźnej kampanii

Naukowcy uważają, że ta najnowsza kampania rozpoczęła się w lipcu 2024 r. i może rozszerzyć się poza granice Ukrainy. Analiza usługi przechowywania plików pCloud ujawniła ponad tysiąc plików EXE i MSI przesłanych od 1 sierpnia, z których niektóre mogą być powiązane z tą szerszą kampanią.

6 sierpnia Ukraina przeprowadziła niespodziewany atak w obwodzie kurskim. Po raz pierwszy wysoki rangą dowódca wojskowy publicznie potwierdził, że siły Kijowa kontrolują obecnie ponad 1000 kilometrów kwadratowych (około 386 mil kwadratowych) terytorium Rosji.

Ostatnia kampania phishingowa, która rozmieściła złośliwe oprogramowanie typu backdoor w rządowych systemach komputerowych, zbiegła się z tą znaczącą ukraińską ofensywą. Jednak Kijów nie przypisał bezpośrednio tych ukierunkowanych ataków Rosji ani jej operacjom cybernetycznym. Zamiast tego kampania została powiązana z aktorem zagrożenia zidentyfikowanym jako UAC-0198.

Wcześniej rosyjscy hakerzy stosowali podobne taktyki, wykorzystując legalne oprogramowanie do zdalnego monitorowania i zarządzania (RMM) do szpiegowania Ukrainy i jej sojuszników. Ukryli złośliwe skrypty potrzebne do pobrania i uruchomienia oprogramowania RMM w legalnym kodzie Python gry „Saper” firmy Microsoft.