MeshAgent Malware kompromitterer ukrainske regeringssystemer i målrettet phishing-kampagne

En nylig phishing-kampagne har kompromitteret over 100 ukrainske stats- og lokale computere ved at implementere MeshAgent-malwaren via e-mails, der er udgivet som officiel kommunikation fra Ukraines sikkerhedstjeneste (SBU). Ukraines Computer Emergency Response Team (CERT-UA) identificerede dette angreb i mandags og fremhævede den stigende sofistikering af cybertrusler, som Ukraine står over for midt i den igangværende konflikt.

Hvordan angrebet forløb

Phishing-e-mails, der så ud til at stamme fra SBU, instruerede modtagerne til at downloade en fil med navnet "Documents.zip." I stedet for legitime dokumenter leverede linket en ondsindet Microsoft Software Installer-fil (MSI), såsom "Scan_docs#40562153.msi." Når den blev udført, implementerede denne fil ANONVNC-malwaren - en iteration af MeshAgent-softwareværktøjet - og gav angribere hemmelig og uautoriseret adgang til de kompromitterede systemer.

Forstå ANONVNC (MeshAgent) Malware

ANONVNC-malwaren er en variant af MeshAgent, et fjernstyringsværktøj, der typisk bruges sammen med MeshCentral open source-platformen. Selvom MeshAgent ikke i sig selv er ondsindet, har trusselsaktører i stigende grad bevæbnet det til at etablere vedvarende bagdøre på kompromitterede systemer, hvilket muliggør fjernadgang og kontrol gennem protokoller som VNC, RDP eller SSH.

Nøglefunktioner ved MeshAgent, der gør det attraktivt for cyberkriminelle, omfatter:

• Sømløs forbindelse: MeshCentral forbinder med slutpunkter uden brugerindblanding, hvilket gør det nemt for angribere at bevare adgangen.
• Uautoriseret adgang: Angribere kan fjernstyre de inficerede systemer via RDP, ofte uden brugerens samtykke eller viden.
• Systemkontrol: MeshAgent giver mulighed for fjernbetjening, såsom vækning, genstart eller nedlukning af systemer.
• Kommando og kontrol: MeshCentral kan udføre shell-kommandoer og overføre filer på målmaskinen, alt imens man undgår registrering.
• Uopdagelige operationer: Malwaren opererer under meget privilegerede systemkonti, der blander sig med legitime baggrundsopgaver.
• Unikke fil-hasher: Hver forekomst af MeshAgent er unikt genereret, hvilket komplicerer detektionsbestræbelser baseret på fil-hash.

Tekniske detaljer om MeshAgents drift

På et Windows-system følger MeshAgent typisk disse trin:

1. Starter MeshCentral-baggrundstjenesten.
2. Opretter forbindelse til MeshCentral-serveren og etablerer en kommunikationskanal.
3. Installerer ved hjælp af kommandoflaget -fullinstall og placerer dets eksekverbare ved C:\Program Files\Mesh Agent\MeshAgent.exe .
4. Opretter konfigurationslagring i registreringsdatabasen på HKLM\System\CurrentControlSet\Services\Mesh Agent .
5. Tilføjer en registreringsnøgle ved HKLM\System\CurrentControlSet\Control\SafeBoot\Network\MeshAgent for at aktivere netværksadgang under fejlsikret tilstand.
6. Ændrer Windows-tjenester for at sikre persistens og aktivere WebRTC-trafik gennem firewallen.
7. Udfører handlinger ved hjælp af privilegerede systemkonti såsom NT AUTHORITY\SYSTEM og LocalService.

Ved gentilslutning til MeshCentral forskanser MeshAgent sig yderligere ved at oprette en registreringsnøgle ved HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MeshUserTask , og planlægger opgaver som vågning, søvn og kommandoudførelse. Hvis malwaren genopretter forbindelse uden tilladelse, ændrer den forbindelsesadministratortjenesten fra "efterspørgselsstart" til "autostart", hvilket sikrer fortsat adgang.

Videre implikationer og mistænkt kampagne

CERT-UAs analyse tyder på, at denne kampagne kan strække sig ud over Ukraines grænser, med beviser, der peger på over tusind potentielt relaterede MSI- og EXE-filer, der er uploadet til pCloud siden 1. august. Kampagnen, der menes at være startet i juli 2024, er blevet tilskrevet en trusselsaktør sporet som UAC-0198.

Timingen for phishing-angrebet falder sammen med en betydelig ukrainsk militæroffensiv i Kursk-regionen, hvilket fører til spekulationer om, at dette cyberangreb kan være en del af en bredere russisk strategi for at forstyrre den ukrainske regerings operationer.

Sådan fjerner du MeshAgent Malware

Hvis du har mistanke om, at dit system er blevet kompromitteret af MeshAgent malware, er øjeblikkelig handling afgørende for at afbøde truslen. Her er trin, du kan tage for at fjerne malwaren:

1. Afbryd forbindelsen til netværket: Isoler det inficerede system for at forhindre yderligere uautoriseret adgang.
2. Identificer og afslut ondsindede processer: Brug Task Manager til at identificere og stoppe eventuelle mistænkelige processer relateret til MeshAgent.
3. Fjern ondsindede filer: Naviger til C:\Program Files\Mesh Agent\ og slet MeshAgent.exe filen og tilhørende mapper.
4. Rengør registreringsdatabasen: Brug en registreringseditor til at fjerne følgende nøgler:
   • HKLM\System\CurrentControlSet\Services\Mesh Agent
   • HKLM\System\CurrentControlSet\Control\SafeBoot\Network\MeshAgent
   • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MeshUserTask
5. Tjek for persistensmekanismer: Bekræft, at der ikke er foretaget uautoriserede ændringer i Windows-tjenester, firewall-indstillinger eller planlagte opgaver.
6. Udfør en fuld systemscanning: Brug velrenommeret antivirus- eller anti-malware-software til at scanne hele systemet for eventuelle resterende spor af malwaren.
7. Genopbyg systemet, hvis det er nødvendigt: Hvis infektionen er alvorlig, kan du overveje at gendanne systemet fra en ren sikkerhedskopi eller udføre en komplet OS-geninstallation.

Beskyttelse mod fremtidige angreb

For at forhindre fremtidige infektioner skal du sørge for, at dine e-mailfiltre er opdateret til at blokere phishing-e-mails, holde al software opdateret og oplyse brugere om farerne ved at klikke på mistænkelige links eller downloade uopfordrede vedhæftede filer.

Ved at forblive på vagt og tage proaktive sikkerhedsforanstaltninger kan organisationer beskytte deres systemer mod sofistikerede trusler som MeshAgent malware.