MeshAgent

Hơn 100 máy tính của chính quyền địa phương và tiểu bang Ukraine đã bị phần mềm độc hại MeshAgent xâm nhập trong một chiến dịch lừa đảo lợi dụng lòng tin vào Cơ quan An ninh Ukraine (SBU).

Cuộc tấn công liên quan đến các email có vẻ như đến từ SBU, có chứa liên kết để tải xuống tệp có nhãn 'Documents.zip.'

Tuy nhiên, khi nhấp vào liên kết, tệp Microsoft Software Installer (MSI) sẽ được tải xuống, chẳng hạn như 'Scan_docs#40562153.msi'. Việc mở tệp MSI này sẽ kích hoạt cài đặt ANONVNC, còn được gọi là phần mềm độc hại MeshAgent, có khả năng cho phép kẻ tấn công truy cập bí mật và trái phép vào các hệ thống bị xâm phạm.

Những kẻ tấn công có thể đã khai thác một công cụ mã nguồn mở

Theo phân tích của các nhà nghiên cứu bảo mật, phần mềm độc hại ANONVNC có tệp cấu hình rất giống với tệp cấu hình của công cụ phần mềm MeshAgent.

MeshAgent chủ yếu là một công cụ quản lý từ xa được thiết kế để hoạt động với nền tảng mã nguồn mở MeshCentral. Nó hỗ trợ nhiều hệ điều hành khác nhau, bao gồm Windows, Linux, macOS và FreeBSD. Mặc dù bản thân MeshAgent không phải là độc hại, nhưng tội phạm mạng đã khai thác nó để tạo ra các cửa hậu trên các điểm cuối bị xâm phạm, cho phép truy cập từ xa thông qua các công cụ như VNC, RDP hoặc SSH.

Gần đây, các nhà nghiên cứu bảo mật đã quan sát thấy sự gia tăng việc kẻ tấn công sử dụng sai MeshAgent để duy trì sự tồn tại trên các hệ thống bị xâm phạm và thực hiện các lệnh từ xa.

Tại sao tội phạm mạng lại chiếm đoạt được công cụ MeshAgent?

• Kết nối liền mạch: Sau khi cài đặt, MeshCentral sẽ tự động thiết lập kết nối với các điểm cuối mà không cần bất kỳ tương tác nào của người dùng.
• Truy cập trái phép : MeshCentral có thể truy cập MeshAgent trực tiếp hoặc thông qua Giao thức máy tính từ xa (RDP), bỏ qua nhu cầu xin phép từ điểm cuối.
• Kiểm soát hệ thống : Có khả năng đánh thức, khởi động lại hoặc tắt các điểm cuối từ xa.
• Chỉ huy và Kiểm soát : MeshCentral hoạt động như một máy chủ lệnh, cho phép thực thi các lệnh shell và chuyển các tệp trên điểm cuối mà người dùng không hề hay biết.
• Hoạt động không thể phát hiện : Các hoạt động do MeshCentral thực hiện hoạt động theo tài khoản NT AUTHORITY\SYSTEM, giúp chúng hòa nhập với các quy trình nền thông thường.
• Băm tệp duy nhất : Mỗi phiên bản MeshAgent được tạo duy nhất, khiến việc phát hiện chỉ thông qua băm tệp trở nên khó khăn.
• Lừa đảo và né tránh tường lửa : Kẻ tấn công thường phân phối MeshAgent qua email lừa đảo. Việc sử dụng các cổng thông dụng như 80 và 443 để giao tiếp làm tăng khả năng trốn tránh phát hiện của tường lửa.

Các chuyên gia cảnh báo về khả năng xảy ra một chiến dịch đe dọa lớn hơn

Các nhà nghiên cứu tin rằng chiến dịch mới nhất này bắt đầu vào tháng 7 năm 2024 và có thể mở rộng ra ngoài biên giới Ukraine. Phân tích dịch vụ lưu trữ tệp pCloud đã phát hiện ra hơn một nghìn tệp EXE và MSI được tải lên kể từ ngày 1 tháng 8, một số trong số đó có thể liên quan đến chiến dịch rộng lớn hơn này.

Vào ngày 6 tháng 8, Ukraine đã phát động một cuộc tấn công bất ngờ vào khu vực Kursk. Lần đầu tiên, một chỉ huy quân sự cấp cao công khai xác nhận rằng lực lượng của Kyiv hiện kiểm soát hơn 1.000 km2 (khoảng 386 dặm vuông) lãnh thổ Nga.

Chiến dịch lừa đảo gần đây, triển khai phần mềm độc hại cửa sau trên các hệ thống máy tính của chính phủ, trùng với cuộc tấn công đáng kể này của Ukraine. Tuy nhiên, Kyiv không trực tiếp quy kết các cuộc tấn công có mục tiêu này cho Nga hoặc các hoạt động mạng của nước này. Thay vào đó, chiến dịch này đã được liên kết với một tác nhân đe dọa được xác định là UAC-0198.

Trước đây, tin tặc Nga đã sử dụng các chiến thuật tương tự, tận dụng phần mềm giám sát và quản lý từ xa (RMM) hợp pháp để do thám Ukraine và các đồng minh của nước này. Họ đã che giấu các tập lệnh độc hại cần thiết để tải xuống và thực thi phần mềm RMM trong mã Python hợp pháp của trò chơi 'Minesweeper' của Microsoft.