MeshAgent

คอมพิวเตอร์ของรัฐบาลกลางและรัฐบาลท้องถิ่นของยูเครนมากกว่า 100 เครื่องถูกบุกรุกโดยมัลแวร์ MeshAgent ในแคมเปญฟิชชิ่งที่ใช้ประโยชน์จากความเชื่อมั่นของหน่วยงานรักษาความปลอดภัยของยูเครน (SBU)

การโจมตีเกี่ยวข้องกับอีเมลที่ดูเหมือนจะมาจาก SBU ซึ่งมีลิงก์สำหรับดาวน์โหลดไฟล์ที่มีชื่อว่า "Documents.zip"

อย่างไรก็ตาม การคลิกลิงก์ดังกล่าวกลับกลายเป็นการดาวน์โหลดไฟล์ Microsoft Software Installer (MSI) เช่น 'Scan_docs#40562153.msi' แทน การเปิดไฟล์ MSI นี้กระตุ้นให้มีการติดตั้ง ANONVNC หรือที่รู้จักกันในชื่อมัลแวร์ MeshAgent ซึ่งอาจทำให้ผู้โจมตีสามารถเข้าถึงระบบที่ถูกบุกรุกได้โดยไม่ได้รับอนุญาตและแอบแฝง

ผู้โจมตีอาจใช้ประโยชน์จากเครื่องมือโอเพนซอร์ส

มัลแวร์ ANONVNC ที่ได้รับการวิเคราะห์จากนักวิจัยด้านความปลอดภัย มีลักษณะเด่นคือไฟล์การกำหนดค่าที่คล้ายคลึงกับเครื่องมือซอฟต์แวร์ MeshAgent มาก

MeshAgent เป็นเครื่องมือการจัดการระยะไกลที่ออกแบบมาเพื่อทำงานร่วมกับแพลตฟอร์มโอเพ่นซอร์ส MeshCentral โดยรองรับระบบปฏิบัติการต่างๆ เช่น Windows, Linux, macOS และ FreeBSD แม้ว่า MeshAgent เองจะไม่ได้เป็นอันตรายโดยตรง แต่ผู้ก่ออาชญากรรมทางไซเบอร์ได้ใช้ประโยชน์จากเครื่องมือนี้เพื่อสร้างช่องทางเข้าในจุดปลายทางที่ถูกบุกรุก ทำให้สามารถเข้าถึงจากระยะไกลได้ผ่านเครื่องมือต่างๆ เช่น VNC, RDP หรือ SSH

เมื่อเร็วๆ นี้ นักวิจัยด้านความปลอดภัยได้สังเกตเห็นการเพิ่มขึ้นของการใช้ MeshAgent โดยผู้โจมตีเพื่อรักษาการคงอยู่ในระบบที่ถูกบุกรุกและดำเนินการคำสั่งจากระยะไกล

เหตุใดอาชญากรทางไซเบอร์จึงเข้าถึงเครื่องมือ MeshAgent?

• การเชื่อมต่อที่ราบรื่น: หลังจากการติดตั้ง MeshCentral จะสร้างการเชื่อมต่อกับจุดสิ้นสุดโดยอัตโนมัติโดยไม่ต้องมีการโต้ตอบจากผู้ใช้ใดๆ
• การเข้าถึงที่ไม่ได้รับอนุญาต : MeshCentral สามารถเข้าถึง MeshAgent ได้โดยตรงหรือผ่านทาง Remote Desktop Protocol (RDP) โดยไม่จำเป็นต้องได้รับอนุญาตจากจุดปลายทาง
• การควบคุมระบบ : มีความสามารถในการปลุก รีสตาร์ท หรือปิดระบบปลายทางได้จากระยะไกล
• คำสั่งและการควบคุม : MeshCentral ทำหน้าที่เป็นเซิร์ฟเวอร์คำสั่ง ซึ่งทำให้สามารถดำเนินการคำสั่งเชลล์และถ่ายโอนไฟล์บนจุดสิ้นสุดโดยที่ผู้ใช้ไม่ทราบ
• การดำเนินการที่ตรวจจับไม่ได้ : การดำเนินการที่ดำเนินการโดย MeshCentral ดำเนินการภายใต้บัญชี NT AUTHORITY\SYSTEM ซึ่งช่วยให้กลมกลืนไปกับกระบวนการพื้นหลังปกติ
• แฮชไฟล์ที่ไม่ซ้ำกัน : อินสแตนซ์แต่ละรายการของ MeshAgent จะถูกสร้างขึ้นอย่างเฉพาะเจาะจง ซึ่งทำให้ยากต่อการตรวจจับผ่านแฮชไฟล์เพียงอย่างเดียว
• การฟิชชิ่งและการหลีกเลี่ยงไฟร์วอลล์ : ผู้โจมตีมักจะแจกจ่าย MeshAgent ผ่านทางอีเมลฟิชชิ่ง การใช้พอร์ตทั่วไป เช่น 80 และ 443 สำหรับการสื่อสารจะเพิ่มโอกาสในการหลบเลี่ยงการตรวจจับโดยไฟร์วอลล์

ผู้เชี่ยวชาญเตือนถึงความเป็นไปได้ของการรณรงค์คุกคามที่ใหญ่กว่านี้

นักวิจัยเชื่อว่าแคมเปญล่าสุดนี้เริ่มขึ้นในเดือนกรกฎาคม 2024 และอาจขยายออกไปนอกพรมแดนของยูเครน การวิเคราะห์บริการจัดเก็บไฟล์ pCloud พบว่ามีการอัปโหลดไฟล์ EXE และ MSI มากกว่าหนึ่งพันไฟล์ตั้งแต่วันที่ 1 สิงหาคม โดยบางไฟล์อาจเกี่ยวข้องกับแคมเปญที่กว้างกว่านี้

เมื่อวันที่ 6 สิงหาคม ยูเครนได้เปิดฉากโจมตีอย่างกะทันหันในภูมิภาคเคิร์สก์ เป็นครั้งแรกที่ผู้บัญชาการทหารระดับสูงได้ยืนยันต่อสาธารณะว่าขณะนี้กองกำลังของเคียฟควบคุมดินแดนของรัสเซียได้กว่า 1,000 ตารางกิโลเมตร (ประมาณ 386 ตารางไมล์) แล้ว

แคมเปญฟิชชิ่งล่าสุดซึ่งใช้มัลแวร์แบ็คดอร์ในระบบคอมพิวเตอร์ของรัฐบาลเกิดขึ้นพร้อมๆ กับการโจมตีครั้งสำคัญนี้ของยูเครน อย่างไรก็ตาม เคียฟไม่ได้ระบุโดยตรงว่าการโจมตีแบบกำหนดเป้าหมายเหล่านี้เกิดจากรัสเซียหรือปฏิบัติการทางไซเบอร์ของประเทศ แต่กลับเชื่อมโยงแคมเปญนี้กับผู้ก่อภัยคุกคามที่ระบุว่าเป็น UAC-0198

ก่อนหน้านี้แฮกเกอร์ชาวรัสเซียเคยใช้กลวิธีที่คล้ายกัน โดยใช้ซอฟต์แวร์ตรวจสอบและจัดการระยะไกล (RMM) ที่ถูกต้องตามกฎหมายเพื่อสอดส่องยูเครนและพันธมิตร โดยพวกเขาซ่อนสคริปต์ที่เป็นอันตรายซึ่งจำเป็นต่อการดาวน์โหลดและเรียกใช้ซอฟต์แวร์ RMM ไว้ในโค้ด Python ที่ถูกต้องตามกฎหมายของเกม 'Minesweeper' ของ Microsoft