Rabattoffert för flera licenser
Hotdatabas Skadlig programvara MeshAgent

MeshAgent

Med Mezo år Skadlig programvara
Översätt till:

Över 100 ukrainska statliga och lokala datorer har äventyrats av skadlig programvara MeshAgent i en nätfiskekampanj som utnyttjade förtroendet för Ukrainas säkerhetstjänst (SBU).

Attacken involverade e-postmeddelanden som verkade komma från SBU, innehållande en länk för att ladda ner en fil märkt 'Documents.zip'.

Men genom att klicka på länken laddades istället ned en Microsoft Software Installer-fil (MSI), som "Scan_docs#40562153.msi". Öppnandet av den här MSI-filen utlöste installationen av ANONVNC, även känd som MeshAgent malware, vilket potentiellt tillåter angripare hemlig och obehörig åtkomst till de komprometterade systemen.

Angriparna kan ha utnyttjat ett verktyg med öppen källkod

ANONVNC skadlig programvara, som analyserats av säkerhetsforskare, har en konfigurationsfil som liknar den för programvaran MeshAgent.

MeshAgent är i första hand ett fjärrhanteringsverktyg designat för att fungera med öppen källkodsplattformen MeshCentral. Det upprätthåller olika operativsystem, inklusive Windows, Linux, macOS och FreeBSD. Även om MeshAgent inte i sig är skadligt, har cyberkriminella utnyttjat det för att skapa bakdörrar på komprometterade slutpunkter, vilket möjliggör fjärråtkomst via verktyg som VNC, RDP eller SSH.

Nyligen har säkerhetsforskare observerat en ökning av missbruket av MeshAgent av angripare för att upprätthålla uthållighet på komprometterade system och utföra fjärrkommandon.

Varför cyberkriminella kapade MeshAgent-verktyget?

  • Sömlös anslutning: Efter installationen upprättar MeshCentral automatiskt anslutningar med slutpunkter utan att behöva någon användarinteraktion.
  • Obehörig åtkomst : MeshCentral kan komma åt MeshAgent antingen direkt eller genom Remote Desktop Protocol (RDP), och kringgår behovet av tillstånd från slutpunkten.
  • Systemkontroll : Den har förmågan att väcka, starta om eller stänga av slutpunkter på distans.
  • Kommando och kontroll : MeshCentral fungerar som en kommandoserver, vilket gör att den kan utföra skalkommandon och överföra filer på slutpunkten utan användarens medvetenhet.
  • Oupptäckbara operationer : Åtgärder utförda av MeshCentral fungerar under kontot NT AUTHORITY\SYSTEM, vilket hjälper dem att smälta in i normala bakgrundsprocesser.
  • Unika filhashar : Varje instans av MeshAgent genereras unikt, vilket gör det svårt att upptäcka enbart genom filhashar.
  • Nätfiske och brandväggsflykt : Angripare distribuerar ofta MeshAgent via nätfiske-e-post. Dess användning av vanliga portar som 80 och 443 för kommunikation ökar chanserna att undvika upptäckt av brandväggar.

    • Experter varnar för möjligheten av en större hotkampanj

    Forskare tror att denna senaste kampanj började i juli 2024 och kan sträcka sig utanför Ukrainas gränser. Analys av fillagringstjänsten pCloud har avslöjat över tusen EXE- och MSI-filer som laddats upp sedan 1 augusti, av vilka några kan vara associerade med denna bredare kampanj.

    Den 6 augusti inledde Ukraina en överraskningsattack i Kursk-regionen. För första gången bekräftade en högre militär befälhavare offentligt att Kievs styrkor nu kontrollerar över 1 000 kvadratkilometer (cirka 386 kvadratkilometer) av ryskt territorium.

    Den senaste nätfiskekampanjen, som distribuerade bakdörr skadlig kod på statliga datorsystem, sammanföll med denna betydande ukrainska offensiv. Men Kiev har inte direkt tillskrivit Ryssland eller dess cyberoperationer dessa riktade attacker. Istället har kampanjen kopplats till en hotaktör identifierad som UAC-0198.

    Tidigare har ryska hackare använt liknande taktik och utnyttjat legitim programvara för fjärrövervakning och hantering (RMM) för att spionera på Ukraina och dess allierade. De gömde skadliga skript som behövs för att ladda ner och köra RMM-programvaran inom den legitima Python-koden för Microsofts "Minesweeper"-spel.

    Trendigt

    Mest sedda

    Läser in...