MeshAgent

在一次利用乌克兰安全局 (SBU) 信任度的网络钓鱼活动中，超过 100 台乌克兰国家和地方政府计算机遭到 MeshAgent 恶意软件的攻击。

此次攻击涉及看似来自 SBU 的电子邮件，其中包含下载名为“Documents.zip”的文件的链接。

然而，点击该链接会下载 Microsoft 软件安装程序 (MSI) 文件，例如“Scan_docs#40562153.msi”。打开此 MSI 文件会触发 ANONVNC（也称为 MeshAgent 恶意软件）的安装，这可能会允许攻击者秘密且未经授权地访问受感染的系统。

攻击者可能利用了开源工具

经安全研究人员分析，ANONVNC 恶意软件的配置文件与 MeshAgent 软件工具的配置文件非常相似。

MeshAgent 主要是一个远程管理工具，旨在与开源平台 MeshCentral 配合使用。它支持各种操作系统，包括 Windows、Linux、macOS 和 FreeBSD。虽然 MeshAgent 本身并不具有恶意，但网络犯罪分子一直在利用它在受感染的端点上创建后门，从而通过 VNC、RDP 或 SSH 等工具实现远程访问。

最近，安全研究人员发现，攻击者滥用 MeshAgent 来维持受感染系统的持久性并执行远程命令的情况有所增加。

网络犯罪分子为何劫持 MeshAgent 工具？

• 无缝连接：安装后，MeshCentral 自动与端点建立连接，无需任何用户交互。
• 未经授权的访问：MeshCentral 可以直接或通过远程桌面协议 (RDP) 访问 MeshAgent，从而无需端点的许可。
• 系统控制：它具有远程唤醒、重启或关闭端点的能力。
• 命令和控制：MeshCentral 作为命令服务器，允许其在用户不知情的情况下执行 shell 命令并在端点上传输文件。
• 无法检测到的操作：MeshCentral 执行的操作在 NT AUTHORITY\SYSTEM 帐户下运行，这有助于它们与正常的后台进程融合。
• 唯一文件哈希：MeshAgent 的每个实例都是唯一生成的，这使得仅通过文件哈希很难检测。
• 网络钓鱼和防火墙逃避：攻击者经常通过网络钓鱼电子邮件分发 MeshAgent。它使用 80 和 443 等常用端口进行通信，增加了逃避防火墙检测的机会。

专家警告称，可能出现更大规模的威胁活动

研究人员认为，此次最新活动始于 2024 年 7 月，可能延伸至乌克兰境外。对 pCloud 文件存储服务的分析发现，自 8 月 1 日以来上传了 1000 多个 EXE 和 MSI 文件，其中一些可能与此次更广泛的活动有关。

8月6日，乌克兰对库尔斯克地区发动突然袭击。这是乌克兰高级军事指挥官首次公开证实基辅部队目前控制着超过1000平方公里（约386平方英里）的俄罗斯领土。

最近的网络钓鱼活动在政府计算机系统上部署了后门恶意软件，这与乌克兰的这次重大攻击同时发生。然而，基辅并没有直接将这些有针对性的攻击归咎于俄罗斯或其网络行动。相反，该活动与被识别为 UAC-0198 的威胁行为者有关。

此前，俄罗斯黑客也曾使用过类似的策略，利用合法的远程监控和管理 (RMM) 软件监视乌克兰及其盟友。他们将下载和执行 RMM 软件所需的恶意脚本隐藏在微软“扫雷”游戏的合法 Python 代码中。