MeshAgent

Viac ako 100 ukrajinských štátnych a miestnych vládnych počítačov bolo napadnutých malvérom MeshAgent v rámci phishingovej kampane, ktorá zneužila dôveru v Bezpečnostnú službu Ukrajiny (SBU).

Útok zahŕňal e-maily, ktoré zrejme prišli od SBU a obsahovali odkaz na stiahnutie súboru označeného ako „Documents.zip“.

Kliknutím na odkaz sa však namiesto toho stiahol súbor Microsoft Software Installer (MSI), ako napríklad „Scan_docs#40562153.msi“. Otvorenie tohto súboru MSI spustilo inštaláciu ANONVNC, známeho aj ako malvér MeshAgent, ktorý potenciálne umožňuje útočníkom skrytý a neoprávnený prístup k napadnutým systémom.

Útočníci možno využili nástroj s otvoreným zdrojom

Malvér ANONVNC analyzovaný bezpečnostnými výskumníkmi obsahuje konfiguračný súbor, ktorý sa veľmi podobá na softvérový nástroj MeshAgent.

MeshAgent je predovšetkým nástroj na vzdialenú správu navrhnutý pre prácu s open-source platformou MeshCentral. Podporuje rôzne operačné systémy vrátane Windows, Linux, macOS a FreeBSD. Hoci samotný MeshAgent nie je vo svojej podstate škodlivý, kyberzločinci ho využívajú na vytváranie zadných vrátok na kompromitovaných koncových bodoch, čím umožňujú vzdialený prístup prostredníctvom nástrojov ako VNC, RDP alebo SSH.

Výskumníci v oblasti bezpečnosti nedávno zaznamenali nárast zneužívania MeshAgent útočníkmi na udržanie perzistencie na napadnutých systémoch a vykonávanie vzdialených príkazov.

Prečo kyberzločinci uniesli nástroj MeshAgent?

• Bezproblémové pripojenie: MeshCentral po inštalácii automaticky vytvorí spojenia s koncovými bodmi bez potreby akejkoľvek interakcie používateľa.
• Neoprávnený prístup : MeshCentral môže pristupovať k MeshAgent buď priamo, alebo prostredníctvom protokolu RDP (Remote Desktop Protocol), čím sa obíde potreba povolenia z koncového bodu.
• Ovládanie systému : Má schopnosť prebudiť, reštartovať alebo vypnúť koncové body na diaľku.
• Command and Control : MeshCentral funguje ako príkazový server, ktorý mu umožňuje vykonávať príkazy shellu a prenášať súbory na koncovom bode bez vedomia používateľa.
• Nezistiteľné operácie : Akcie vykonávané MeshCentral fungujú pod účtom NT AUTHORITY\SYSTEM, čo im pomáha zapadnúť do bežných procesov na pozadí.
• Unique File Hashe : Každá inštancia MeshAgenta je jedinečne generovaná, čo sťažuje detekciu prostredníctvom samotných hash súborov.

Odborníci varujú pred možnosťou väčšej hrozivej kampane

Výskumníci sa domnievajú, že táto najnovšia kampaň sa začala v júli 2024 a mohla by presiahnuť ukrajinské hranice. Analýza služby ukladania súborov pCloud odhalila viac ako tisíc súborov EXE a MSI nahraných od 1. augusta, z ktorých niektoré môžu byť spojené s touto širšou kampaňou.

Ukrajina spustila 6. augusta prekvapivý útok v oblasti Kurska. Po prvý raz vysoký vojenský veliteľ verejne potvrdil, že kyjevské sily teraz kontrolujú viac ako 1000 štvorcových kilometrov (asi 386 štvorcových míľ) ruského územia.

Nedávna phishingová kampaň, ktorá nasadila backdoor malvér na vládne počítačové systémy, sa zhodovala s touto významnou ukrajinskou ofenzívou. Kyjev však tieto cielené útoky priamo nepripísal Rusku ani jeho kybernetickým operáciám. Namiesto toho bola kampaň spojená s aktérom hrozby identifikovaným ako UAC-0198.

Predtým ruskí hackeri používali podobnú taktiku a využívali legitímny softvér na vzdialené monitorovanie a správu (RMM) na špehovanie Ukrajiny a jej spojencov. Skryli škodlivé skripty potrebné na stiahnutie a spustenie softvéru RMM v rámci legitímneho kódu Python hry „Hľadanie mín“ od spoločnosti Microsoft.