MeshAgent
Peste 100 de computere guvernamentale ucrainene de stat și locale au fost compromise de malware-ul MeshAgent într-o campanie de phishing care a exploatat încrederea în Serviciul de Securitate al Ucrainei (SBU).
Atacul a implicat e-mailuri care păreau să provină de la SBU, conținând un link pentru a descărca un fișier etichetat „Documents.zip”.
Cu toate acestea, făcând clic pe link, s-a descărcat un fișier Microsoft Software Installer (MSI), cum ar fi „Scan_docs#40562153.msi”. Deschiderea acestui fișier MSI a declanșat instalarea ANONVNC, cunoscut și sub numele de malware MeshAgent, permițând atacatorilor accesul ascuns și neautorizat la sistemele compromise.
Cuprins
Este posibil ca atacatorii să fi exploatat un instrument open-source
Programul malware ANONVNC, analizat de cercetătorii în domeniul securității, prezintă un fișier de configurare care seamănă foarte mult cu cel al instrumentului software MeshAgent.
MeshAgent este în primul rând un instrument de management de la distanță conceput pentru a funcționa cu platforma open-source MeshCentral. Susține diverse sisteme de operare, inclusiv Windows, Linux, macOS și FreeBSD. Deși MeshAgent în sine nu este în mod inerent rău intenționat, infractorii cibernetici l-au exploatat pentru a crea uși în spate pe punctele finale compromise, permițând accesul la distanță prin instrumente precum VNC, RDP sau SSH.
Recent, cercetătorii de securitate au observat o creștere a utilizării greșite a MeshAgent de către atacatori pentru a menține persistența pe sistemele compromise și pentru a executa comenzi de la distanță.
De ce infractorii cibernetici au deturnat instrumentul MeshAgent?
- Conexiune fără întreruperi: După instalare, MeshCentral stabilește automat conexiuni cu punctele finale fără a avea nevoie de nicio interacțiune a utilizatorului.
- Acces neautorizat : MeshCentral poate accesa MeshAgent fie direct, fie prin Remote Desktop Protocol (RDP), ocolind necesitatea permisiunii de la punctul final.
- Controlul sistemului : are capacitatea de a trezi, reporni sau închide punctele finale de la distanță.
- Comandă și control : MeshCentral funcționează ca un server de comenzi, permițându-i să execute comenzi shell și să transfere fișiere pe punctul final fără conștientizarea utilizatorului.
- Operații nedetectabile : Acțiunile efectuate de MeshCentral funcționează sub contul NT AUTHORITY\SYSTEM, ceea ce le ajută să se integreze în procesele normale de fundal.
- Hashuri unice de fișiere : Fiecare instanță de MeshAgent este generată în mod unic, ceea ce face dificilă detectarea numai prin hashuri de fișiere.
Experții avertizează asupra posibilității unei campanii mai mari amenințătoare
Cercetătorii cred că această ultimă campanie a început în iulie 2024 și s-ar putea extinde dincolo de granițele Ucrainei. Analiza serviciului de stocare a fișierelor pCloud a scos la iveală peste o mie de fișiere EXE și MSI încărcate de la 1 august, dintre care unele pot fi asociate cu această campanie mai largă.
Pe 6 august, Ucraina a lansat un atac surpriză în regiunea Kursk. Pentru prima dată, un comandant militar înalt a confirmat public că forțele Kievului controlează acum peste 1.000 de kilometri pătrați (aproximativ 386 mile pătrate) de teritoriul rus.
Campania recentă de phishing, care a implementat programe malware backdoor pe sistemele computerizate guvernamentale, a coincis cu această ofensivă ucraineană semnificativă. Cu toate acestea, Kievul nu a atribuit direct aceste atacuri vizate Rusiei sau operațiunilor sale cibernetice. În schimb, campania a fost legată de un actor de amenințare identificat ca UAC-0198.
Anterior, hackerii ruși au folosit tactici similare, utilizând software-ul legitim de monitorizare și management de la distanță (RMM) pentru a spiona Ucraina și aliații săi. Au ascuns scripturile rău intenționate necesare pentru a descărca și executa software-ul RMM în codul Python legitim al jocului „Minesweeper” de la Microsoft.
