MeshAgent
在一場利用烏克蘭安全局 (SBU) 信任的網路釣魚活動中,超過 100 台烏克蘭州和地方政府電腦遭到了 MeshAgent 惡意軟體的攻擊。
這次攻擊涉及似乎來自 SBU 的電子郵件,其中包含下載標有“Documents.zip”的文件的連結。
但是,按一下該連結會下載 Microsoft 軟體安裝程式 (MSI) 文件,例如「Scan_docs#40562153.msi」。開啟此 MSI 檔案會觸發 ANONVNC(也稱為 MeshAgent 惡意軟體)的安裝,可能允許攻擊者秘密且未經授權地存取受感染的系統。
目錄
攻擊者可能利用了開源工具
根據安全研究人員的分析,ANONVNC 惡意軟體的設定檔與 MeshAgent 軟體工具的設定檔非常相似。
MeshAgent 主要是遠端管理工具,旨在與開源平台 MeshCentral 搭配使用。它支援各種作業系統,包括 Windows、Linux、macOS 和 FreeBSD。雖然 MeshAgent 本身並不是惡意的,但網路犯罪分子一直在利用它在受感染的端點上創建後門,從而可以透過 VNC、RDP 或 SSH 等工具進行遠端存取。
最近,安全研究人員觀察到攻擊者濫用 MeshAgent 來維持受感染系統的持久性並執行遠端命令的情況增加。
網路犯罪分子為何劫持 MeshAgent 工具?
- 無縫連接:安裝後,MeshCentral 會自動與端點建立連接,無需任何使用者互動。
- 未經授權的存取:MeshCentral 可以直接或透過遠端桌面協定 (RDP) 存取 MeshAgent,無需取得端點的許可。
- 系統控制:它能夠遠端喚醒、重新啟動或關閉端點。
- 命令與控制:MeshCentral 充當命令伺服器,允許其在使用者不知情的情況下執行 shell 命令並在端點上傳輸檔案。
- 不可偵測的操作:MeshCentral 執行的操作在 NT AUTHORITY\SYSTEM 帳戶下運行,這有助於它們與正常的後台進程融為一體。
- 唯一的檔案雜湊值:MeshAgent 的每個實例都是唯一產生的,這使得僅透過檔案雜湊值很難進行偵測。
- 網路釣魚和防火牆規避:攻擊者經常透過網路釣魚電子郵件分發 MeshAgent。它使用 80 和 443 等常見端口進行通信,增加了逃避防火牆檢測的機會。
專家警告可能會發生更大規模的威脅活動
研究人員認為,最新的活動始於 2024 年 7 月,可能會延伸到烏克蘭境外。對 pCloud 文件儲存服務的分析發現,自 8 月 1 日以來上傳了一千多個 EXE 和 MSI 文件,其中一些文件可能與這項更廣泛的活動有關。
8月6日,烏克蘭對庫爾斯克地區發動突襲。一位高級軍事指揮官首次公開證實,基輔軍目前控制超過1,000平方公里(約386平方英里)的俄羅斯領土。
最近的網路釣魚活動在政府電腦系統上部署了後門惡意軟體,與烏克蘭的這一重大攻勢同時發生。然而,基輔並未直接將這些有針對性的攻擊歸咎於俄羅斯或其網路行動。相反,該活動與識別為 UAC-0198 的威脅行為者有關。
此前,俄羅斯駭客也曾使用過類似的策略,利用合法的遠端監控和管理(RMM)軟體來監視烏克蘭及其盟友。他們在微軟「掃雷」遊戲的合法 Python 程式碼中隱藏了下載和執行 RMM 軟體所需的惡意腳本。
