MeshAgent

Mahigit sa 100 Ukrainian state at local government computers ang nakompromiso ng MeshAgent malware sa isang phishing campaign na sinamantala ang tiwala sa Security Service of Ukraine (SBU).

Ang pag-atake ay nagsasangkot ng mga email na tila nagmula sa SBU, na naglalaman ng isang link upang mag-download ng file na may label na 'Documents.zip.'

Gayunpaman, ang pag-click sa link ay nag-download sa halip ng isang Microsoft Software Installer (MSI) file, gaya ng 'Scan_docs#40562153.msi.' Ang pagbubukas ng MSI file na ito ay nag-trigger sa pag-install ng ANONVNC, na kilala rin bilang MeshAgent malware, na potensyal na nagbibigay-daan sa mga attacker ng tago at hindi awtorisadong pag-access sa mga nakompromisong system.

Maaaring Nagsamantala ang mga Attacker ng Open-Source Tool

Ang ANONVNC malware, gaya ng sinuri ng mga mananaliksik sa seguridad, ay nagtatampok ng configuration file na halos kamukha ng MeshAgent software tool.

Ang MeshAgent ay pangunahing isang remote na tool sa pamamahala na idinisenyo upang gumana sa open-source na platform na MeshCentral. Itinataguyod nito ang iba't ibang mga operating system, kabilang ang Windows, Linux, macOS, at FreeBSD. Bagama't ang MeshAgent mismo ay hindi likas na nakakahamak, sinasamantala ito ng mga cybercriminal upang lumikha ng mga backdoor sa mga nakompromisong endpoint, na nagpapagana ng malayuang pag-access sa pamamagitan ng mga tool tulad ng VNC, RDP, o SSH.

Kamakailan, naobserbahan ng mga mananaliksik sa seguridad ang pagtaas ng maling paggamit ng MeshAgent ng mga umaatake upang mapanatili ang pagtitiyaga sa mga nakompromisong system at magsagawa ng mga malalayong utos.

Bakit In-hijack ng mga Cybercriminal ang MeshAgent Tool?

• Seamless na Koneksyon: Pagkatapos ng pag-install, ang MeshCentral ay awtomatikong nagtatatag ng mga koneksyon na may mga endpoint nang hindi nangangailangan ng anumang pakikipag-ugnayan ng user.
• Hindi Awtorisadong Pag-access : Maaaring ma-access ng MeshCentral ang MeshAgent nang direkta o sa pamamagitan ng Remote Desktop Protocol (RDP), na lampasan ang pangangailangan para sa pahintulot mula sa endpoint.
• System Control : Ito ay may kakayahan na gisingin, i-restart, o isara ang mga endpoint nang malayuan.
• Command and Control : Ang MeshCentral ay gumagana bilang command server, na nagbibigay-daan dito na magsagawa ng mga shell command at maglipat ng mga file sa endpoint nang hindi nalalaman ng user.
• Undetectable Operations : Ang mga aksyon na isinagawa ng MeshCentral ay gumagana sa ilalim ng NT AUTHORITY\SYSTEM account, na tumutulong sa kanila na sumama sa mga normal na proseso sa background.
• Natatanging Mga Hashes ng File : Ang bawat instance ng MeshAgent ay katangi-tanging nabuo, na nagpapahirap sa pagtukoy sa pamamagitan ng mga hash ng file lamang.

Nagbabala ang Mga Eksperto tungkol sa Posibilidad ng Mas Malaking Pagbabanta sa Kampanya

Naniniwala ang mga mananaliksik na ang pinakabagong kampanyang ito ay nagsimula noong Hulyo 2024 at maaaring lumampas sa mga hangganan ng Ukraine. Natuklasan ng pagsusuri sa serbisyo ng pag-iimbak ng pCloud file ang mahigit isang libong EXE at MSI file na na-upload mula noong Agosto 1, ang ilan sa mga ito ay maaaring nauugnay sa mas malawak na kampanyang ito.

Noong Agosto 6, inilunsad ng Ukraine ang isang sorpresang pag-atake sa rehiyon ng Kursk. Sa unang pagkakataon, kinumpirma ng isang senior military commander sa publiko na kontrolado na ngayon ng mga pwersa ng Kyiv ang mahigit 1,000 square kilometers (mga 386 square miles) ng teritoryo ng Russia.

Ang kamakailang kampanya sa phishing, na nag-deploy ng backdoor malware sa mga computer system ng gobyerno, ay kasabay ng makabuluhang opensibong ito sa Ukraine. Gayunpaman, hindi direktang iniugnay ng Kyiv ang mga target na pag-atake na ito sa Russia o sa mga cyber operation nito. Sa halip, ang kampanya ay na-link sa isang banta na aktor na kinilala bilang UAC-0198.

Noong nakaraan, ang mga hacker ng Russia ay gumamit ng mga katulad na taktika, na gumagamit ng lehitimong remote monitoring and management (RMM) software upang tiktikan ang Ukraine at mga kaalyado nito. Itinago nila ang mga malisyosong script na kailangan para i-download at maisagawa ang RMM software sa loob ng lehitimong Python code ng larong 'Minesweeper' ng Microsoft.