MeshAgent

Преко 100 украјинских рачунара државних и локалних власти компромитовано је малвером МесхАгент у пхисхинг кампањи која је искористила поверење у Службу безбедности Украјине (СБУ).

Напад је укључивао мејлове за које се чинило да долазе од СБУ-а, који садрже везу за преузимање датотеке са ознаком „Доцументс.зип“.

Међутим, кликом на везу преузима се датотека Мицрософт Софтваре Инсталлер (МСИ), као што је „Сцан_доцс#40562153.мси“. Отварање ове МСИ датотеке покренуло је инсталацију АНОНВНЦ-а, такође познатог као МесхАгент малвер, потенцијално омогућавајући нападачима прикривен и неовлашћен приступ компромитованим системима.

Нападачи су можда искористили алатку отвореног кода

АНОНВНЦ злонамерни софтвер, како су анализирали истраживачи безбедности, садржи конфигурациону датотеку која веома подсећа на софтверску алатку МесхАгент.

МесхАгент је првенствено алатка за даљинско управљање дизајнирана да ради са платформом отвореног кода МесхЦентрал. Подржава различите оперативне системе, укључујући Виндовс, Линук, мацОС и ФрееБСД. Иако сам МесхАгент није инхерентно злонамеран, сајбер криминалци га користе за креирање бацкдоор-а на компромитованим крајњим тачкама, омогућавајући даљински приступ преко алата као што су ВНЦ, РДП или ССХ.

Недавно су истраживачи безбедности приметили пораст злоупотребе МесхАгент-а од стране нападача да би одржали упорност на компромитованим системима и извршили даљинске команде.

Зашто су сајбер криминалци отели алатку MeshAgent?

• Беспрекорна веза: Након инсталације, МесхЦентрал аутоматски успоставља везе са крајњим тачкама без потребе за било каквом корисничком интеракцијом.
• Неовлашћени приступ : МесхЦентрал може да приступи МесхАгент-у директно или преко протокола за удаљену радну површину (РДП), заобилазећи потребу за дозволом са крајње тачке.
• Контрола система : Има могућност даљинског буђења, поновног покретања или искључивања крајњих тачака.
• Команда и контрола : МесхЦентрал функционише као командни сервер, омогућавајући му да извршава команде љуске и преноси датотеке на крајњој тачки без свести корисника.
• Операције које се не могу детектовати : Радње које обавља МесхЦентрал раде под налогом НТ АУТХОРИТИ\СИСТЕМ, што им помаже да се стапају са нормалним позадинским процесима.
• Јединствени хешови датотека : Свака инстанца МесхАгент-а је јединствено генерисана, што отежава откривање само помоћу хешева датотека.
• Пецање и избегавање заштитног зида : Нападачи често дистрибуирају МесхАгент путем пхисхинг емаил-ова. Његова употреба заједничких портова као што су 80 и 443 за комуникацију повећава шансе да се избегне откривање од стране заштитних зидова.

Стручњаци упозоравају на могућност веће претеће кампање

Истраживачи верују да је ова најновија кампања почела у јулу 2024. и да би се могла проширити и ван граница Украјине. Анализа пЦлоуд услуге складиштења датотека открила је преко хиљаду ЕКСЕ и МСИ датотека отпремљених од 1. августа, од којих неке могу бити повезане са овом широм кампањом.

Украјина је 6. августа извршила изненадни напад на област Курск. По први пут, високи војни командант је јавно потврдио да кијевске снаге сада контролишу више од 1.000 квадратних километара (око 386 квадратних миља) руске територије.

Недавна пхисхинг кампања, која је користила мали софтвер у позадини на владиним компјутерским системима, поклопила се са овом значајном украјинском офанзивом. Међутим, Кијев није директно приписао ове циљане нападе Русији или њеним сајбер операцијама. Уместо тога, кампања је повезана са претњом идентификованом као УАЦ-0198.

Раније су руски хакери користили сличну тактику, користећи легитимни софтвер за даљинско праћење и управљање (РММ) за шпијунирање Украјине и њених савезника. Они су сакрили злонамерне скрипте потребне за преузимање и извршавање РММ софтвера у оквиру легитимног Питхон кода Мицрософтове игре Минесвеепер.