MeshAgent
Понад 100 українських державних і місцевих комп’ютерів були скомпрометовані шкідливим програмним забезпеченням MeshAgent під час фішингової кампанії, яка використовувала довіру до Служби безпеки України (СБУ).
Атака стосувалася електронних листів, які нібито надійшли від СБУ, містили посилання для завантаження файлу з позначкою «Documents.zip».
Однак, клацнувши посилання, замість цього завантажується файл Microsoft Software Installer (MSI), наприклад «Scan_docs#40562153.msi». Відкриття цього файлу MSI ініціювало встановлення ANONVNC, також відомого як зловмисне програмне забезпечення MeshAgent, потенційно дозволяючи зловмисникам отримати прихований і неавторизований доступ до скомпрометованих систем.
Зміст
Можливо, зловмисники використали інструмент із відкритим кодом
Зловмисне програмне забезпечення ANONVNC, проаналізоване дослідниками безпеки, містить файл конфігурації, який дуже нагадує файл програмного забезпечення MeshAgent.
MeshAgent — це в першу чергу інструмент віддаленого керування, призначений для роботи з платформою з відкритим кодом MeshCentral. Він підтримує різні операційні системи, включаючи Windows, Linux, macOS і FreeBSD. Хоча MeshAgent сам по собі не є зловмисним, кіберзлочинці використовували його для створення бекдорів на скомпрометованих кінцевих точках, забезпечуючи віддалений доступ через такі інструменти, як VNC, RDP або SSH.
Нещодавно дослідники безпеки помітили збільшення випадків неналежного використання MeshAgent зловмисниками для підтримки стійкості скомпрометованих систем і виконання віддалених команд.
Чому кіберзлочинці викрали інструмент MeshAgent?
- Безперебійне з’єднання: після інсталяції MeshCentral автоматично встановлює з’єднання з кінцевими точками без необхідності втручання користувача.
- Неавторизований доступ : MeshCentral може отримати доступ до MeshAgent або безпосередньо, або через протокол віддаленого робочого столу (RDP), минаючи потребу в дозволі від кінцевої точки.
- Контроль системи : він має можливість віддалено виводити з режиму сну, перезапускати або вимикати кінцеві точки.
- Командування та керування : MeshCentral функціонує як командний сервер, що дозволяє йому виконувати команди оболонки та передавати файли на кінцевій точці без відома користувача.
- Операції, які не можна виявити : дії, які виконує MeshCentral, працюють під обліковим записом NT AUTHORITY\SYSTEM, що допомагає їм поєднуватися зі звичайними фоновими процесами.
- Унікальні хеші файлів : кожен екземпляр MeshAgent генерується унікально, що ускладнює виявлення лише за хешами файлів.
Експерти попереджають про можливість більш масштабної загрозливої кампанії
Дослідники вважають, що ця остання кампанія почалася в липні 2024 року і може вийти за межі України. Аналіз служби зберігання файлів pCloud виявив понад тисячу файлів EXE та MSI, завантажених з 1 серпня, деякі з яких можуть бути пов’язані з цією ширшою кампанією.
6 серпня Україна здійснила раптовий удар по Курській області. Вперше високопоставлений військовий командир публічно підтвердив, що зараз війська Києва контролюють понад 1000 квадратних кілометрів (приблизно 386 квадратних миль) російської території.
Нещодавня фішингова кампанія, яка розгорнула бекдорне шкідливе програмне забезпечення на державних комп’ютерних системах, збіглася з цим значним українським наступом. Однак Київ прямо не приписує ці цілеспрямовані атаки Росії чи її кіберопераціям. Натомість кампанію було пов’язано з загрозою, ідентифікованою як UAC-0198.
Раніше російські хакери використовували подібну тактику, використовуючи законне програмне забезпечення віддаленого моніторингу та управління (RMM), щоб шпигувати за Україною та її союзниками. Вони приховали шкідливі сценарії, необхідні для завантаження та виконання програмного забезпечення RMM, у законному коді Python гри Microsoft Minesweeper.
