MeshAgent
Более 100 компьютеров украинских государственных и местных органов власти были скомпрометированы вредоносным ПО MeshAgent в ходе фишинговой кампании, которая эксплуатировала доверие к Службе безопасности Украины (СБУ).
Атака включала электронные письма, которые, по всей видимости, были отправлены из СБУ и содержали ссылку для загрузки файла с меткой «Documents.zip».
Однако при нажатии на ссылку вместо этого загружался файл Microsoft Software Installer (MSI), например, «Scan_docs#40562153.msi». Открытие этого файла MSI запускало установку ANONVNC, также известного как вредоносное ПО MeshAgent, что потенциально позволяло злоумышленникам получить скрытый и несанкционированный доступ к скомпрометированным системам.
Оглавление
Злоумышленники могли использовать инструмент с открытым исходным кодом
По данным анализа исследователей безопасности, вредоносная программа ANONVNC содержит файл конфигурации, очень похожий на файл программного инструмента MeshAgent.
MeshAgent — это в первую очередь инструмент удаленного управления, разработанный для работы с платформой с открытым исходным кодом MeshCentral. Он поддерживает различные операционные системы, включая Windows, Linux, macOS и FreeBSD. Хотя сам MeshAgent не является вредоносным по своей сути, киберпреступники используют его для создания бэкдоров на скомпрометированных конечных точках, обеспечивая удаленный доступ с помощью таких инструментов, как VNC, RDP или SSH.
В последнее время исследователи в области безопасности отмечают рост случаев несанкционированного использования MeshAgent злоумышленниками для сохранения присутствия на скомпрометированных системах и выполнения удаленных команд.
Почему киберпреступники взломали инструмент MeshAgent?
- Бесперебойное подключение: после установки MeshCentral автоматически устанавливает соединения с конечными точками без необходимости взаимодействия с пользователем.
- Несанкционированный доступ : MeshCentral может получить доступ к MeshAgent либо напрямую, либо через протокол удаленного рабочего стола (RDP), минуя необходимость получения разрешения от конечной точки.
- Управление системой : имеет возможность удаленно пробуждать, перезапускать или выключать конечные точки.
- Управление и контроль : MeshCentral функционирует как командный сервер, позволяя ему выполнять команды оболочки и передавать файлы на конечную точку без ведома пользователя.
- Необнаруживаемые операции : действия, выполняемые MeshCentral, выполняются под учетной записью NT AUTHORITY\SYSTEM, что помогает им слиться с обычными фоновыми процессами.
- Уникальные хэши файлов : каждый экземпляр MeshAgent генерируется уникально, что затрудняет его обнаружение только по хэшам файлов.
Эксперты предупреждают о возможности более масштабной угрожающей кампании
Исследователи полагают, что эта последняя кампания началась в июле 2024 года и может выйти за пределы границ Украины. Анализ сервиса хранения файлов pCloud выявил более тысячи файлов EXE и MSI, загруженных с 1 августа, некоторые из которых могут быть связаны с этой более широкой кампанией.
6 августа Украина начала внезапное наступление в Курской области. Впервые высокопоставленный военный командир публично подтвердил, что силы Киева теперь контролируют более 1000 квадратных километров (около 386 квадратных миль) российской территории.
Недавняя фишинговая кампания, которая развернула вредоносное ПО бэкдора на правительственных компьютерных системах, совпала с этим значительным украинским наступлением. Однако Киев напрямую не приписывал эти целевые атаки России или ее кибероперациям. Вместо этого кампания была связана с субъектом угрозы, идентифицированным как UAC-0198.
Ранее российские хакеры использовали похожую тактику, используя законное программное обеспечение удаленного мониторинга и управления (RMM) для шпионажа за Украиной и ее союзниками. Они скрыли вредоносные скрипты, необходимые для загрузки и выполнения программного обеспечения RMM, в законном коде Python игры «Сапер» от Microsoft.
