MeshAgent
Več kot 100 ukrajinskih državnih in lokalnih vladnih računalnikov je ogrozila zlonamerna programska oprema MeshAgent v kampanji lažnega predstavljanja, ki je izkoriščala zaupanje v varnostno službo Ukrajine (SBU).
Napad je vključeval e-poštna sporočila, za katera se je zdelo, da prihajajo iz SBU, ki vsebujejo povezavo za prenos datoteke z oznako 'Documents.zip'.
Vendar pa je s klikom na povezavo namesto tega prenesena datoteka Microsoft Software Installer (MSI), na primer »Scan_docs#40562153.msi«. Odpiranje te datoteke MSI je sprožilo namestitev ANONVNC, znane tudi kot zlonamerna programska oprema MeshAgent, ki bi lahko napadalcem omogočila prikrit in nepooblaščen dostop do ogroženih sistemov.
Kazalo
Napadalci so morda izrabili odprtokodno orodje
Zlonamerna programska oprema ANONVNC, kot so jo analizirali varnostni raziskovalci, ima konfiguracijsko datoteko, ki je zelo podobna tisti v programskem orodju MeshAgent.
MeshAgent je predvsem orodje za oddaljeno upravljanje, zasnovano za delo z odprtokodno platformo MeshCentral. Podpira različne operacijske sisteme, vključno z Windows, Linux, macOS in FreeBSD. Medtem ko MeshAgent sam po sebi ni zlonameren, ga kibernetski kriminalci izkoriščajo za ustvarjanje stranskih vrat na ogroženih končnih točkah, kar omogoča oddaljen dostop prek orodij, kot so VNC, RDP ali SSH.
V zadnjem času so varnostni raziskovalci opazili povečanje zlorabe MeshAgenta s strani napadalcev za vzdrževanje obstojnosti ogroženih sistemov in izvajanje oddaljenih ukazov.
Zakaj so spletni kriminalci ugrabili orodje MeshAgent?
- Brezhibna povezava: po namestitvi MeshCentral samodejno vzpostavi povezave s končnimi točkami, ne da bi potreboval kakršno koli posredovanje uporabnika.
- Nepooblaščen dostop : MeshCentral lahko dostopa do MeshAgenta neposredno ali prek protokola oddaljenega namizja (RDP), pri čemer obide potrebo po dovoljenju končne točke.
- Sistemski nadzor : ima možnost prebuditi, znova zagnati ali zaustaviti končne točke na daljavo.
- Ukaz in nadzor : MeshCentral deluje kot ukazni strežnik, ki mu omogoča izvajanje ukazov lupine in prenos datotek na končni točki, ne da bi se uporabnik tega zavedal.
- Nezaznavne operacije : Dejanja, ki jih izvaja MeshCentral, delujejo pod računom NT AUTHORITY\SYSTEM, kar jim pomaga, da se zlijejo z običajnimi procesi v ozadju.
- Edinstvene zgoščene vrednosti datotek : Vsak primerek MeshAgenta je edinstveno ustvarjen, kar otežuje odkrivanje samo z zgoščenimi vrednostmi datotek.
Strokovnjaki opozarjajo na možnost večje grozeče kampanje
Raziskovalci verjamejo, da se je ta najnovejša kampanja začela julija 2024 in bi se lahko razširila prek meja Ukrajine. Analiza storitve za shranjevanje datotek pCloud je odkrila več kot tisoč datotek EXE in MSI, naloženih od 1. avgusta, od katerih so nekatere morda povezane s to širšo kampanjo.
6. avgusta je Ukrajina izvedla nenaden napad v regiji Kursk. Prvič je višji vojaški poveljnik javno potrdil, da kijevske sile zdaj nadzorujejo več kot 1000 kvadratnih kilometrov (približno 386 kvadratnih milj) ruskega ozemlja.
Nedavna kampanja lažnega predstavljanja, ki je v vladne računalniške sisteme postavila zlonamerno programsko opremo za zakulisna vrata, je sovpadla s to pomembno ukrajinsko ofenzivo. Vendar Kijev teh ciljnih napadov ni neposredno pripisal Rusiji ali njenim kibernetskim operacijam. Namesto tega je bila kampanja povezana z grožnjo, identificirano kot UAC-0198.
Pred tem so ruski hekerji uporabljali podobne taktike, pri čemer so uporabljali zakonito programsko opremo za daljinsko spremljanje in upravljanje (RMM) za vohunjenje za Ukrajino in njenimi zavezniki. Skrili so zlonamerne skripte, potrebne za prenos in izvajanje programske opreme RMM, znotraj zakonite kode Python Microsoftove igre 'Minesweeper'.
