MeshAgent

100 పైగా ఉక్రేనియన్ రాష్ట్ర మరియు స్థానిక ప్రభుత్వ కంప్యూటర్లు MeshAgent మాల్వేర్ ద్వారా రాజీ పడిన ఫిషింగ్ ప్రచారంలో ఉక్రెయిన్ సెక్యూరిటీ సర్వీస్ (SBU)పై విశ్వాసం ఉంది.

దాడిలో 'Documents.zip' అని లేబుల్ చేయబడిన ఫైల్‌ను డౌన్‌లోడ్ చేయడానికి లింక్‌ను కలిగి ఉన్న SBU నుండి వచ్చిన ఇమెయిల్‌లు ఉన్నాయి.

అయితే, లింక్‌పై క్లిక్ చేయడం ద్వారా బదులుగా 'Scan_docs#40562153.msi' వంటి Microsoft సాఫ్ట్‌వేర్ ఇన్‌స్టాలర్ (MSI) ఫైల్ డౌన్‌లోడ్ చేయబడింది. ఈ MSI ఫైల్‌ను తెరవడం వలన ANONVNC యొక్క ఇన్‌స్టాలేషన్‌ను ప్రారంభించబడింది, దీనిని MeshAgent మాల్వేర్ అని కూడా పిలుస్తారు, దాడి చేసేవారు రహస్యంగా మరియు రాజీపడిన సిస్టమ్‌లకు అనధికారిక యాక్సెస్‌ను అనుమతించే అవకాశం ఉంది.

దాడి చేసేవారు ఓపెన్ సోర్స్ సాధనాన్ని ఉపయోగించుకుని ఉండవచ్చు

భద్రతా పరిశోధకులచే విశ్లేషించబడిన ANONVNC మాల్వేర్, MeshAgent సాఫ్ట్‌వేర్ సాధనాన్ని పోలి ఉండే కాన్ఫిగరేషన్ ఫైల్‌ను కలిగి ఉంది.

MeshAgent అనేది ప్రధానంగా ఓపెన్ సోర్స్ ప్లాట్‌ఫారమ్ MeshCentralతో పని చేయడానికి రూపొందించబడిన రిమోట్ మేనేజ్‌మెంట్ సాధనం. ఇది Windows, Linux, macOS మరియు FreeBSDతో సహా వివిధ ఆపరేటింగ్ సిస్టమ్‌లను సమర్థిస్తుంది. MeshAgent కూడా అంతర్లీనంగా హానికరమైనది కానప్పటికీ, VNC, RDP లేదా SSH వంటి సాధనాల ద్వారా రిమోట్ యాక్సెస్‌ను ప్రారంభించడం ద్వారా, రాజీపడిన ముగింపు బిందువులపై బ్యాక్‌డోర్‌లను సృష్టించేందుకు సైబర్ నేరస్థులు దీనిని ఉపయోగించుకుంటున్నారు.

ఇటీవల, భద్రతా పరిశోధకులు రాజీపడిన సిస్టమ్‌లపై పట్టుదలతో ఉండటానికి మరియు రిమోట్ ఆదేశాలను అమలు చేయడానికి దాడి చేసేవారిచే MeshAgent దుర్వినియోగం పెరగడాన్ని గమనించారు.

సైబర్ నేరగాళ్లు MeshAgent సాధనాన్ని ఎందుకు హైజాక్ చేసారు?

• అతుకులు లేని కనెక్షన్: ఇన్‌స్టాలేషన్ తర్వాత, MeshCentral స్వయంచాలకంగా ఎటువంటి వినియోగదారు పరస్పర చర్య అవసరం లేకుండా ఎండ్ పాయింట్‌లతో కనెక్షన్‌లను ఏర్పాటు చేస్తుంది.
• అనధికారిక యాక్సెస్ : MeshCentral నేరుగా లేదా రిమోట్ డెస్క్‌టాప్ ప్రోటోకాల్ (RDP) ద్వారా MeshAgentని యాక్సెస్ చేయగలదు, ఎండ్ పాయింట్ నుండి అనుమతి అవసరాన్ని దాటవేస్తుంది.
• సిస్టమ్ నియంత్రణ : ఇది రిమోట్‌గా ఎండ్‌పాయింట్‌లను మేల్కొలపడానికి, పునఃప్రారంభించగల లేదా మూసివేసే సామర్థ్యాన్ని కలిగి ఉంటుంది.
• కమాండ్ మరియు కంట్రోల్ : MeshCentral కమాండ్ సర్వర్‌గా పనిచేస్తుంది, ఇది షెల్ ఆదేశాలను అమలు చేయడానికి మరియు వినియోగదారు యొక్క అవగాహన లేకుండా ఫైళ్లను ఎండ్‌పాయింట్‌లో బదిలీ చేయడానికి అనుమతిస్తుంది.
• గుర్తించలేని కార్యకలాపాలు : MeshCentral ద్వారా నిర్వహించబడే చర్యలు NT Authority\SYSTEM ఖాతా క్రింద పనిచేస్తాయి, ఇది వాటిని సాధారణ నేపథ్య ప్రక్రియలతో కలపడంలో సహాయపడుతుంది.
• ప్రత్యేక ఫైల్ హాష్‌లు : MeshAgent యొక్క ప్రతి సందర్భం ప్రత్యేకంగా రూపొందించబడింది, ఇది ఫైల్ హ్యాష్‌ల ద్వారా మాత్రమే గుర్తించడం కష్టతరం చేస్తుంది.

పెద్ద బెదిరింపు ప్రచారానికి అవకాశం ఉందని నిపుణులు హెచ్చరిస్తున్నారు

ఈ తాజా ప్రచారం జూలై 2024లో ప్రారంభమైందని మరియు ఉక్రెయిన్ సరిహద్దులను దాటి విస్తరించవచ్చని పరిశోధకులు భావిస్తున్నారు. pCloud ఫైల్ నిల్వ సేవ యొక్క విశ్లేషణ ఆగస్టు 1 నుండి అప్‌లోడ్ చేయబడిన వెయ్యికి పైగా EXE మరియు MSI ఫైల్‌లను వెలికితీసింది, వాటిలో కొన్ని ఈ విస్తృత ప్రచారంతో అనుబంధించబడి ఉండవచ్చు.

ఆగస్టు 6న ఉక్రెయిన్ కుర్స్క్ ప్రాంతంలో ఆకస్మిక దాడి చేసింది. మొదటిసారిగా, ఒక సీనియర్ మిలిటరీ కమాండర్ కైవ్ యొక్క దళాలు ఇప్పుడు రష్యన్ భూభాగంలో 1,000 చదరపు కిలోమీటర్ల (సుమారు 386 చదరపు మైళ్ళు) నియంత్రణలో ఉన్నాయని బహిరంగంగా ధృవీకరించారు.

ప్రభుత్వ కంప్యూటర్ సిస్టమ్‌లపై బ్యాక్‌డోర్ మాల్వేర్‌ని మోహరించిన ఇటీవలి ఫిషింగ్ ప్రచారం, ఈ ముఖ్యమైన ఉక్రేనియన్ దాడితో సమానంగా ఉంది. అయితే, కైవ్ ఈ లక్ష్య దాడులకు రష్యా లేదా దాని సైబర్ కార్యకలాపాలకు నేరుగా ఆపాదించలేదు. బదులుగా, ప్రచారం UAC-0198గా గుర్తించబడిన ముప్పు నటుడితో ముడిపడి ఉంది.

ఇంతకుముందు, రష్యన్ హ్యాకర్లు ఉక్రెయిన్ మరియు దాని మిత్రదేశాలపై గూఢచర్యం చేయడానికి చట్టబద్ధమైన రిమోట్ మానిటరింగ్ మరియు మేనేజ్‌మెంట్ (RMM) సాఫ్ట్‌వేర్‌ను ఉపయోగించుకుంటూ ఇలాంటి వ్యూహాలను ఉపయోగించారు. మైక్రోసాఫ్ట్ యొక్క 'మైన్స్వీపర్' గేమ్ యొక్క చట్టబద్ధమైన పైథాన్ కోడ్‌లో RMM సాఫ్ట్‌వేర్‌ను డౌన్‌లోడ్ చేయడానికి మరియు అమలు చేయడానికి అవసరమైన హానికరమైన స్క్రిప్ట్‌లను వారు దాచిపెట్టారు.