MeshAgent

உக்ரைனின் பாதுகாப்பு சேவையின் (SBU) நம்பிக்கையைப் பயன்படுத்தி ஃபிஷிங் பிரச்சாரத்தில் 100 க்கும் மேற்பட்ட உக்ரேனிய மாநில மற்றும் உள்ளூர் அரசாங்க கணினிகள் MeshAgent தீம்பொருளால் சமரசம் செய்யப்பட்டுள்ளன.

SBU இலிருந்து வந்ததாகத் தோன்றிய மின்னஞ்சல்கள், 'Documents.zip' என்று பெயரிடப்பட்ட கோப்பைப் பதிவிறக்குவதற்கான இணைப்பைக் கொண்ட இந்தத் தாக்குதலில் ஈடுபட்டது.

இருப்பினும், இணைப்பைக் கிளிக் செய்வதன் மூலம், அதற்குப் பதிலாக 'Scan_docs#40562153.msi' போன்ற மைக்ரோசாஃப்ட் மென்பொருள் நிறுவி (MSI) கோப்பு பதிவிறக்கப்பட்டது. இந்த MSI கோப்பைத் திறப்பது ANONVNC இன் நிறுவலைத் தூண்டியது, இது MeshAgent மால்வேர் என்றும் அழைக்கப்படுகிறது, இது தாக்குபவர்கள் இரகசிய மற்றும் சமரசம் செய்யப்பட்ட அமைப்புகளுக்கு அங்கீகரிக்கப்படாத அணுகலை அனுமதிக்கும்.

தாக்குபவர்கள் திறந்த மூலக் கருவியைப் பயன்படுத்தியிருக்கலாம்

ANONVNC தீம்பொருள், பாதுகாப்பு ஆராய்ச்சியாளர்களால் பகுப்பாய்வு செய்யப்பட்டுள்ளது, இது MeshAgent மென்பொருள் கருவியை ஒத்த உள்ளமைவு கோப்பைக் கொண்டுள்ளது.

MeshAgent என்பது முதன்மையாக திறந்த மூல தளமான MeshCentral உடன் பணிபுரிய வடிவமைக்கப்பட்ட தொலை மேலாண்மை கருவியாகும். இது Windows, Linux, macOS மற்றும் FreeBSD உள்ளிட்ட பல்வேறு இயக்க முறைமைகளை ஆதரிக்கிறது. MeshAgent இயல்பிலேயே தீங்கிழைக்கவில்லை என்றாலும், VNC, RDP அல்லது SSH போன்ற கருவிகள் வழியாக தொலைநிலை அணுகலைச் செயல்படுத்துவதன் மூலம், சமரசம் செய்யப்பட்ட இறுதிப்புள்ளிகளில் பின்கதவுகளை உருவாக்க சைபர் குற்றவாளிகள் அதைப் பயன்படுத்தி வருகின்றனர்.

சமீபத்தில், பாதுகாப்பு ஆய்வாளர்கள், சமரசம் செய்யப்பட்ட கணினிகளில் நிலைத்தன்மையைப் பராமரிக்கவும், தொலை கட்டளைகளை இயக்கவும் தாக்குபவர்களால் MeshAgent ஐ தவறாகப் பயன்படுத்துவதைக் கண்டறிந்துள்ளனர்.

சைபர் குற்றவாளிகள் MeshAgent கருவியை ஏன் கடத்தினார்கள்?

• தடையற்ற இணைப்பு: நிறுவிய பின், MeshCentral தானாக இறுதிப்புள்ளிகளுடன் இணைப்புகளை எந்த பயனர் தொடர்பும் தேவையில்லாமல் நிறுவுகிறது.
• அங்கீகரிக்கப்படாத அணுகல் : MeshCentral நேரடியாகவோ அல்லது தொலைநிலை டெஸ்க்டாப் புரோட்டோகால் (RDP) மூலமாகவோ MeshAgent ஐ அணுகலாம்.
• சிஸ்டம் கண்ட்ரோல் : இது விழிப்பு, மறுதொடக்கம் அல்லது இறுதிப்புள்ளிகளை தொலைவிலிருந்து மூடும் திறன் கொண்டது.
• கட்டளை மற்றும் கட்டுப்பாடு : MeshCentral ஒரு கட்டளை சேவையகமாக செயல்படுகிறது, இது ஷெல் கட்டளைகளை இயக்கவும் மற்றும் பயனரின் விழிப்புணர்வு இல்லாமல் இறுதிப்புள்ளியில் கோப்புகளை மாற்றவும் அனுமதிக்கிறது.
• கண்டறிய முடியாத செயல்பாடுகள் : MeshCentral ஆல் செய்யப்படும் செயல்கள் NT AUTHORITY\SYSTEM கணக்கின் கீழ் இயங்குகின்றன, இது சாதாரண பின்னணி செயல்முறைகளுடன் ஒன்றிணைக்க உதவுகிறது.
• தனிப்பட்ட கோப்பு ஹாஷ்கள் : MeshAgent இன் ஒவ்வொரு நிகழ்வும் தனித்தனியாக உருவாக்கப்படுகிறது, இது கோப்பு ஹாஷ்கள் மூலம் மட்டும் கண்டறிவதை கடினமாக்குகிறது.

ஒரு பெரிய அச்சுறுத்தல் பிரச்சாரத்தின் சாத்தியம் பற்றி நிபுணர்கள் எச்சரிக்கின்றனர்

இந்த சமீபத்திய பிரச்சாரம் ஜூலை 2024 இல் தொடங்கியது மற்றும் உக்ரைனின் எல்லைகளுக்கு அப்பால் நீட்டிக்கப்படலாம் என்று ஆராய்ச்சியாளர்கள் நம்புகின்றனர். pCloud கோப்பு சேமிப்பக சேவையின் பகுப்பாய்வு ஆகஸ்ட் 1 முதல் பதிவேற்றப்பட்ட ஆயிரத்துக்கும் மேற்பட்ட EXE மற்றும் MSI கோப்புகளைக் கண்டறிந்துள்ளது, அவற்றில் சில இந்த பரந்த பிரச்சாரத்துடன் தொடர்புடையதாக இருக்கலாம்.

ஆகஸ்ட் 6 அன்று, உக்ரைன் குர்ஸ்க் பகுதியில் திடீர் தாக்குதலை நடத்தியது. முதன்முறையாக, ஒரு மூத்த இராணுவத் தளபதி பகிரங்கமாக உறுதிப்படுத்தினார், இப்போது கியேவின் படைகள் ரஷ்ய பிரதேசத்தின் 1,000 சதுர கிலோமீட்டர் (சுமார் 386 சதுர மைல்கள்) மீது கட்டுப்பாட்டைக் கொண்டுள்ளன.

சமீபத்திய ஃபிஷிங் பிரச்சாரம், அரசாங்க கணினி அமைப்புகளில் பின்கதவு தீம்பொருளைப் பயன்படுத்தியது, இந்த குறிப்பிடத்தக்க உக்ரேனிய தாக்குதலுடன் ஒத்துப்போனது. எவ்வாறாயினும், இந்த இலக்கு தாக்குதல்களுக்கு ரஷ்யா அல்லது அதன் இணைய செயல்பாடுகள் காரணமாக கெய்வ் நேரடியாகக் கூறவில்லை. மாறாக, UAC-0198 என அடையாளம் காணப்பட்ட அச்சுறுத்தல் நடிகருடன் பிரச்சாரம் இணைக்கப்பட்டுள்ளது.

முன்னதாக, ரஷ்ய ஹேக்கர்கள் உக்ரைன் மற்றும் அதன் கூட்டாளிகள் மீது உளவு பார்க்க, முறையான தொலை கண்காணிப்பு மற்றும் மேலாண்மை (RMM) மென்பொருளைப் பயன்படுத்தி, இதேபோன்ற தந்திரங்களைப் பயன்படுத்தினர். மைக்ரோசாப்டின் 'மைன்ஸ்வீப்பர்' விளையாட்டின் முறையான பைதான் குறியீட்டிற்குள் RMM மென்பொருளைப் பதிவிறக்கம் செய்து செயல்படுத்தத் தேவையான தீங்கிழைக்கும் ஸ்கிரிப்ட்களை அவர்கள் மறைத்தனர்.