MeshAgent

Ukrayna Güvenlik Servisi'ne (SBU) olan güveni suistimal eden bir kimlik avı kampanyasında, MeshAgent adlı kötü amaçlı yazılım tarafından 100'den fazla Ukrayna devlet ve yerel hükümet bilgisayarı tehlikeye atıldı.

Saldırıda, SBU'dan geldiği anlaşılan ve 'Documents.zip' etiketli bir dosyayı indirmek için bağlantı içeren e-postalar yer aldı.

Ancak bağlantıya tıklandığında bunun yerine 'Scan_docs#40562153.msi' gibi bir Microsoft Yazılım Yükleyici (MSI) dosyası indirildi. Bu MSI dosyasının açılması, MeshAgent olarak da bilinen ANONVNC kötü amaçlı yazılımının kurulumunu tetikledi ve bu da saldırganların tehlikeye atılmış sistemlere gizli ve yetkisiz erişim sağlamasına olanak tanıdı.

Saldırganlar Açık Kaynaklı Bir Aracı Kullanmış Olabilir

Güvenlik araştırmacıları tarafından analiz edilen ANONVNC kötü amaçlı yazılımının, MeshAgent yazılım aracının yapılandırma dosyasına oldukça benzeyen bir yapılandırma dosyasına sahip olduğu belirtildi.

MeshAgent, öncelikle açık kaynaklı platform MeshCentral ile çalışmak üzere tasarlanmış bir uzaktan yönetim aracıdır. Windows, Linux, macOS ve FreeBSD dahil olmak üzere çeşitli işletim sistemlerini destekler. MeshAgent'ın kendisi doğası gereği kötü amaçlı olmasa da, siber suçlular, VNC, RDP veya SSH gibi araçlar aracılığıyla uzaktan erişimi etkinleştirerek tehlikeye atılmış uç noktalarda arka kapılar oluşturmak için bunu istismar ediyor.

Son zamanlarda güvenlik araştırmacıları, saldırganların tehlikeye atılmış sistemlerde kalıcılığı sağlamak ve uzaktan komutları yürütmek için MeshAgent'ı kötüye kullanmasında artış gözlemlediler.

Siber Suçlular MeshAgent Aracını Neden Ele Geçirdi?

• Sorunsuz Bağlantı: MeshCentral, kurulumdan sonra herhangi bir kullanıcı etkileşimine ihtiyaç duymadan uç noktalarla otomatik olarak bağlantı kurar.
• Yetkisiz Erişim : MeshCentral, uç noktadan izin alma ihtiyacını ortadan kaldırarak MeshAgent'a doğrudan veya Uzak Masaüstü Protokolü (RDP) aracılığıyla erişebilir.
• Sistem Kontrolü : Uzaktan uç noktaları uyandırma, yeniden başlatma veya kapatma yeteneğine sahiptir.
• Komuta ve Kontrol : MeshCentral bir komut sunucusu olarak işlev görerek, kullanıcının haberi olmadan uç noktada kabuk komutlarını yürütmesine ve dosyaları aktarmasına olanak tanır.
• Algılanamayan İşlemler : MeshCentral tarafından gerçekleştirilen işlemler, normal arka plan işlemleriyle uyum sağlamalarına yardımcı olan NT AUTHORITY\SYSTEM hesabı altında çalışır.
• Benzersiz Dosya Karma Değerleri : MeshAgent'ın her örneği benzersiz şekilde üretilir, bu da yalnızca dosya karma değerleri aracılığıyla tespit edilmesini zorlaştırır.
• Kimlik Avı ve Güvenlik Duvarı Kaçışı : Saldırganlar sıklıkla MeshAgent'ı kimlik avı e-postaları aracılığıyla dağıtır. İletişim için 80 ve 443 gibi ortak portları kullanması, güvenlik duvarları tarafından tespit edilmekten kaçınma şansını artırır.

Uzmanlar Daha Büyük Bir Tehdit Oluşturma Olasılığı Konusunda Uyarıyor

Araştırmacılar, bu son kampanyanın Temmuz 2024'te başladığına ve Ukrayna sınırlarının ötesine uzanabileceğine inanıyor. pCloud dosya depolama hizmetinin analizi, 1 Ağustos'tan bu yana yüklenen binin üzerinde EXE ve MSI dosyasını ortaya çıkardı; bunlardan bazıları bu daha geniş kampanyayla ilişkili olabilir.

6 Ağustos'ta Ukrayna, Kursk bölgesinde sürpriz bir saldırı başlattı. İlk kez, kıdemli bir askeri komutan, Kiev güçlerinin artık 1.000 kilometrekareden (yaklaşık 386 mil kare) fazla Rus topraklarını kontrol ettiğini kamuoyuna doğruladı.

Hükümet bilgisayar sistemlerine arka kapı kötü amaçlı yazılım yerleştiren son kimlik avı kampanyası, bu önemli Ukrayna saldırısıyla aynı zamana denk geldi. Ancak, Kiev bu hedefli saldırıları doğrudan Rusya'ya veya siber operasyonlarına bağlamadı. Bunun yerine, kampanya UAC-0198 olarak tanımlanan bir tehdit aktörüyle ilişkilendirildi.

Daha önce, Rus hacker'lar Ukrayna ve müttefiklerini gözetlemek için meşru uzaktan izleme ve yönetim (RMM) yazılımını kullanarak benzer taktikler kullanmıştı. Microsoft'un 'Minesweeper' oyununun meşru Python kodunda RMM yazılımını indirmek ve çalıştırmak için gereken kötü amaçlı betikleri gizlediler.