MeshAgent

Mbi 100 kompjuterë shtetërorë dhe të qeverisjes vendore ukrainase janë komprometuar nga malware MeshAgent në një fushatë phishing që ka shfrytëzuar besimin në Shërbimin e Sigurisë së Ukrainës (SBU).

Sulmi përfshinte emaile që dukej se vinin nga SBU, që përmbanin një lidhje për të shkarkuar një skedar të etiketuar 'Documents.zip'.

Megjithatë, duke klikuar lidhjen shkarkohet një skedar i instaluesit të softuerit të Microsoft (MSI), si p.sh. 'Scan_docs#40562153.msi'. Hapja e këtij skedari MSI shkaktoi instalimin e ANONVNC, i njohur gjithashtu si malware MeshAgent, duke lejuar potencialisht sulmuesit akses të fshehtë dhe të paautorizuar në sistemet e komprometuara.

Sulmuesit mund të kenë shfrytëzuar një mjet me burim të hapur

Malware ANONVNC, siç analizohet nga studiuesit e sigurisë, përmban një skedar konfigurimi që ngjan shumë me atë të mjetit softuer MeshAgent.

MeshAgent është kryesisht një mjet menaxhimi në distancë i krijuar për të punuar me platformën me burim të hapur MeshCentral. Ai mbështet sisteme të ndryshme operative, duke përfshirë Windows, Linux, macOS dhe FreeBSD. Ndërsa vetë MeshAgent nuk është në thelb keqdashës, kriminelët kibernetikë e kanë shfrytëzuar atë për të krijuar porta të pasme në pikat fundore të komprometuara, duke mundësuar akses në distancë nëpërmjet mjeteve si VNC, RDP ose SSH.

Kohët e fundit, studiuesit e sigurisë kanë vërejtur një rritje të keqpërdorimit të MeshAgent nga sulmuesit për të ruajtur qëndrueshmërinë në sistemet e komprometuara dhe për të ekzekutuar komanda në distancë.

Pse kriminelët kibernetikë rrëmbyen mjetin MeshAgent?

• Lidhja pa probleme: Pas instalimit, MeshCentral vendos automatikisht lidhje me pikat fundore pa pasur nevojë për ndonjë ndërveprim të përdoruesit.
• Qasje e paautorizuar : MeshCentral mund të hyjë në MeshAgent ose drejtpërdrejt ose përmes Protokollit të Desktopit në distancë (RDP), duke anashkaluar nevojën për leje nga pika përfundimtare.
• Kontrolli i Sistemit : Ka aftësinë për të zgjuar, rifilluar ose mbyllur pikat fundore nga distanca.
• Komanda dhe kontrolli : MeshCentral funksionon si një server komandash, duke e lejuar atë të ekzekutojë komandat e guaskës dhe të transferojë skedarë në pikën përfundimtare pa vetëdijen e përdoruesit.
• Operacione të pazbulueshme : Veprimet e kryera nga MeshCentral funksionojnë nën llogarinë NT AUTHORITY\SYSTEM, gjë që i ndihmon ata të përzihen me proceset normale të sfondit.
• Hashes unike të skedarëve : Çdo shembull i MeshAgent gjenerohet në mënyrë unike, gjë që e bën të vështirë zbulimin vetëm përmes hasheve të skedarëve.

Ekspertët paralajmërojnë për mundësinë e një fushate më të madhe kërcënuese

Studiuesit besojnë se kjo fushatë e fundit filloi në korrik 2024 dhe mund të shtrihet përtej kufijve të Ukrainës. Analiza e shërbimit të ruajtjes së skedarëve pCloud ka zbuluar mbi një mijë skedarë EXE dhe MSI të ngarkuar që nga 1 gushti, disa prej të cilëve mund të lidhen me këtë fushatë më të gjerë.

Më 6 gusht, Ukraina nisi një sulm të befasishëm në rajonin e Kurskut. Për herë të parë, një komandant i lartë ushtarak konfirmoi publikisht se forcat e Kievit tani kontrollojnë mbi 1000 kilometra katrorë (rreth 386 milje katror) të territorit rus.

Fushata e fundit e phishing, e cila vendosi malware të pasme në sistemet kompjuterike të qeverisë, përkoi me këtë ofensivë të rëndësishme ukrainase. Megjithatë, Kievi nuk ia ka atribuar drejtpërdrejt këto sulme të synuara Rusisë apo operacioneve të saj kibernetike. Në vend të kësaj, fushata është lidhur me një aktor kërcënimi të identifikuar si UAC-0198.

Më parë, hakerët rusë kanë përdorur taktika të ngjashme, duke shfrytëzuar softuerin legjitim të monitorimit dhe menaxhimit në distancë (RMM) për të spiunuar Ukrainën dhe aleatët e saj. Ata fshehën skriptet me qëllim të keq të nevojshëm për të shkarkuar dhe ekzekutuar softuerin RMM brenda kodit legjitim Python të lojës 'Minesweeper' të Microsoft.