MeshAgent

Mais de 100 computadores do governo estadual e local da Ucrânia foram comprometidos pelo malware MeshAgent em uma campanha de phishing que explorou a confiança no Serviço de Segurança da Ucrânia (SBU).

O ataque envolveu e-mails que pareciam vir do SBU, contendo um link para baixar um arquivo chamado 'Documents.zip'.

No entanto, clicar no link baixou um arquivo do Microsoft Software Installer (MSI), como 'Scan_docs#40562153.msi'. Abrir esse arquivo MSI acionou a instalação do ANONVNC, também conhecido como malware MeshAgent, potencialmente permitindo que invasores tivessem acesso secreto e não autorizado aos sistemas comprometidos.

Os Invasores podem Ter Explorado uma Ferramenta de Código Aberto

O malware ANONVNC, conforme analisado por pesquisadores de segurança, apresenta um arquivo de configuração que se assemelha muito ao da ferramenta de software MeshAgent.

O MeshAgent é principalmente uma ferramenta de gerenciamento remoto projetada para trabalhar com a plataforma de código aberto MeshCentral. Ele suporta vários sistemas operacionais, incluindo Windows, Linux, macOS e FreeBSD. Embora o MeshAgent em si não seja inerentemente malicioso, os cibercriminosos o têm explorado para criar backdoors em endpoints comprometidos, permitindo acesso remoto por meio de ferramentas como VNC, RDP ou SSH.

Recentemente, pesquisadores de segurança observaram um aumento no uso indevido do MeshAgent por invasores para manter a persistência em sistemas comprometidos e executar comandos remotos.

Por Que os Cibercriminosos Sequestraram a Ferramenta MeshAgent?

• Conexão perfeita: Após a instalação, o MeshCentral estabelece automaticamente conexões com endpoints sem precisar de nenhuma interação do usuário.
• Acesso não autorizado : O MeshCentral pode acessar o MeshAgent diretamente ou por meio do Protocolo de Área de Trabalho Remota (RDP), ignorando a necessidade de permissão do endpoint.
• Controle do sistema : Ele tem a capacidade de ativar, reiniciar ou desligar endpoints remotamente.
• Comando e controle : O MeshCentral funciona como um servidor de comando, permitindo executar comandos de shell e transferir arquivos no endpoint sem o conhecimento do usuário.
• Operações indetectáveis : As ações executadas pelo MeshCentral operam sob a conta NT AUTHORITY\SYSTEM, o que as ajuda a se misturar aos processos normais em segundo plano.
• Hashes de arquivo exclusivos : Cada instância do MeshAgent é gerada exclusivamente, o que dificulta sua detecção apenas por meio de hashes de arquivo.
• Phishing e Evasão de Firewall : Os invasores frequentemente distribuem o MeshAgent por meio de e-mails de phishing. Seu uso de portas comuns como 80 e 443 para comunicação aumenta as chances de evasão de detecção por firewalls.

Os Especialistas Alertam sobre a Possibilidade de uma Campanha Ameaçadora Maior

Pesquisadores acreditam que esta última campanha começou em julho de 2024 e pode se estender além das fronteiras da Ucrânia. A análise do serviço de armazenamento de arquivos pCloud revelou mais de mil arquivos EXE e MSI enviados desde 1º de agosto, alguns dos quais podem estar associados a esta campanha mais ampla.

Em 6 de agosto, a Ucrânia lançou um ataque surpresa na região de Kursk. Pela primeira vez, um comandante militar sênior confirmou publicamente que as forças de Kiev agora controlam mais de 1.000 quilômetros quadrados (cerca de 386 milhas quadradas) de território russo.

A recente campanha de phishing, que implantou malware backdoor em sistemas de computadores do governo, coincidiu com essa significativa ofensiva ucraniana. No entanto, Kiev não atribuiu diretamente esses ataques direcionados à Rússia ou às suas operações cibernéticas. Em vez disso, a campanha foi vinculada a um ator de ameaça identificado como UAC-0198.

Anteriormente, hackers russos usaram táticas semelhantes, alavancando software legítimo de monitoramento e gerenciamento remoto (RMM) para espionar a Ucrânia e seus aliados. Eles ocultaram scripts maliciosos necessários para baixar e executar o software RMM dentro do código Python legítimo do jogo 'Minesweeper' da Microsoft.