MeshAgent-Malware gefährdet ukrainische Regierungssysteme in gezielter Phishing-Kampagne

Im Rahmen einer kürzlich durchgeführten Phishing-Kampagne wurden über 100 Computer der ukrainischen Staats- und Kommunalverwaltung infiziert. Die Malware MeshAgent wurde über E-Mails verbreitet, die als offizielle Mitteilungen des ukrainischen Sicherheitsdienstes (SBU) getarnt waren. Das Computer Emergency Response Team der Ukraine (CERT-UA) hat diesen Angriff am Montag identifiziert und damit die zunehmende Komplexität der Cyberbedrohungen unterstrichen, denen die Ukraine im Zuge des anhaltenden Konflikts ausgesetzt ist.

Wie sich der Angriff abspielte

Die Phishing-E-Mails, die scheinbar von der SBU stammten, forderten die Empfänger auf, eine Datei namens „Documents.zip“ herunterzuladen. Statt legitimer Dokumente lieferte der Link eine bösartige Microsoft Software Installer (MSI)-Datei, beispielsweise „Scan_docs#40562153.msi“. Bei der Ausführung setzte diese Datei die ANONVNC-Malware ein – eine Iteration des MeshAgent-Softwaretools – und gewährte Angreifern verdeckten und unbefugten Zugriff auf die kompromittierten Systeme.

ANONVNC (MeshAgent)-Malware verstehen

Die ANONVNC-Malware ist eine Variante von MeshAgent, einem Remote-Management-Tool, das normalerweise mit der Open-Source-Plattform MeshCentral verwendet wird. Obwohl MeshAgent nicht von Natur aus bösartig ist, wird es von Bedrohungsakteuren zunehmend als Waffe eingesetzt, um dauerhafte Hintertüren auf kompromittierten Systemen einzurichten und so Fernzugriff und -steuerung über Protokolle wie VNC, RDP oder SSH zu ermöglichen.

Zu den Hauptfunktionen von MeshAgent, die es für Cyberkriminelle attraktiv machen, gehören:

  • Nahtlose Verbindung: MeshCentral stellt ohne Benutzereingriff eine Verbindung zu Endpunkten her, sodass Angreifer problemlos Zugriff behalten können.
  • Unbefugter Zugriff: Angreifer können die infizierten Systeme per RDP fernsteuern, oft ohne Zustimmung oder Wissen des Benutzers.
  • Systemsteuerung: MeshAgent ermöglicht Remote-Operationen wie das Aufwecken, Neustarten oder Herunterfahren von Systemen.
  • Befehl und Kontrolle: MeshCentral kann Shell-Befehle ausführen und Dateien auf dem Zielcomputer übertragen, und das alles, ohne erkannt zu werden.
  • Nicht erkennbare Vorgänge: Die Schadsoftware wird unter Systemkonten mit hohen Privilegien ausgeführt und vermischt sich mit legitimen Hintergrundaufgaben.
  • Eindeutige Datei-Hashes: Jede Instanz von MeshAgent wird eindeutig generiert, was die auf Datei-Hashes basierenden Erkennungsbemühungen erschwert.

Technische Details zum Betrieb von MeshAgent

Auf einem Windows-System befolgt MeshAgent normalerweise diese Schritte:

  1. Startet den MeshCentral-Hintergrunddienst.
  2. Stellt eine Verbindung zum MeshCentral-Server her und richtet einen Kommunikationskanal ein.
  3. Die Installation erfolgt mit dem Befehlsflag -fullinstall und die ausführbare Datei wird unter C:\Program Files\Mesh Agent\MeshAgent.exe abgelegt.
  4. Erstellt Konfigurationsspeicher in der Registrierung unter HKLM\System\CurrentControlSet\Services\Mesh Agent .
  5. Fügt einen Registrierungsschlüssel unter HKLM\System\CurrentControlSet\Control\SafeBoot\Network\MeshAgent hinzu, um den Netzwerkzugriff im abgesicherten Modus zu ermöglichen.
  6. Ändert Windows-Dienste, um Persistenz sicherzustellen und WebRTC-Verkehr durch die Firewall zu ermöglichen.
  7. Führt Aktionen unter Verwendung privilegierter Systemkonten wie NT AUTHORITY\SYSTEM und LocalService aus.

Bei der erneuten Verbindung mit MeshCentral verschanzt sich MeshAgent weiter, indem es einen Registrierungsschlüssel unter HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MeshUserTask erstellt und Aufgaben wie Aufwecken, Ruhezustand und Befehlsausführung plant. Wenn die Malware ohne Erlaubnis die Verbindung wiederherstellt, ändert sie den Verbindungsmanagerdienst von „Start bei Bedarf“ auf „Automatisch starten“ und stellt so den fortgesetzten Zugriff sicher.

Weitere Auswirkungen und mutmaßliche Kampagne

Die Analyse von CERT-UA legt nahe, dass sich diese Kampagne über die Grenzen der Ukraine hinaus erstrecken könnte. Es gibt Hinweise darauf, dass seit dem 1. August über tausend potenziell verwandte MSI- und EXE-Dateien auf pCloud hochgeladen wurden. Die Kampagne, die vermutlich im Juli 2024 begann, wird einem Bedrohungsakteur mit der Bezeichnung UAC-0198 zugeschrieben.

Der Zeitpunkt des Phishing-Angriffs fällt mit einer bedeutenden ukrainischen Militäroffensive in der Region Kursk zusammen, was zu Spekulationen führt, dass dieser Cyberangriff Teil einer umfassenderen russischen Strategie zur Störung ukrainischer Regierungsoperationen sein könnte.

So entfernen Sie MeshAgent-Malware

Wenn Sie den Verdacht haben, dass Ihr System von der MeshAgent-Malware infiziert wurde, müssen Sie sofort handeln, um die Bedrohung einzudämmen. So können Sie die Malware entfernen:

  1. Vom Netzwerk trennen: Isolieren Sie das infizierte System, um weiteren unbefugten Zugriff zu verhindern.
  2. Identifizieren und Beenden bösartiger Prozesse: Verwenden Sie den Task-Manager, um alle verdächtigen Prozesse im Zusammenhang mit MeshAgent zu identifizieren und zu stoppen.
  3. Schädliche Dateien entfernen: Navigieren Sie zu C:\Program Files\Mesh Agent\ und löschen Sie die Datei MeshAgent.exe und die zugehörigen Verzeichnisse.
  4. Bereinigen Sie die Registrierung: Verwenden Sie einen Registrierungseditor, um die folgenden Schlüssel zu entfernen:
    • HKLM\System\CurrentControlSet\Services\Mesh Agent
    • HKLM\System\CurrentControlSet\Control\SafeBoot\Network\MeshAgent
    • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MeshUserTask
  5. Auf Persistenzmechanismen prüfen: Stellen Sie sicher, dass keine nicht autorisierten Änderungen an Windows-Diensten, Firewall-Einstellungen oder geplanten Aufgaben vorgenommen wurden.
  6. Führen Sie einen vollständigen Systemscan durch: Verwenden Sie eine bewährte Antiviren- oder Anti-Malware-Software, um das gesamte System auf verbleibende Spuren der Malware zu scannen.
  7. Bauen Sie das System bei Bedarf neu auf: Wenn die Infektion schwerwiegend ist, sollten Sie das System aus einer sauberen Sicherung wiederherstellen oder eine vollständige Neuinstallation des Betriebssystems durchführen.

Schutz vor zukünftigen Angriffen

Um zukünftigen Infektionen vorzubeugen, stellen Sie sicher, dass Ihre E-Mail-Filter aktualisiert sind, um Phishing-E-Mails zu blockieren, halten Sie die gesamte Software auf dem neuesten Stand und klären Sie die Benutzer über die Gefahren auf, die entstehen, wenn sie auf verdächtige Links klicken oder unerwünschte Anhänge herunterladen.

Durch Wachsamkeit und proaktive Sicherheitsmaßnahmen können Unternehmen ihre Systeme vor komplexen Bedrohungen wie der MeshAgent-Malware schützen.

Bis Zane
August 13, 2024
Malware, Phishing
Deutsch
August 13, 2024
Malware, Phishing

Beliebte Beiträge

Was ist die Datei OperaGXSetup.exe und ist sie bösartig?

vor 11 months

Eporner.com und warum die übermäßigen Pop-ups riskant sind

vor 12 days

Beachten Sie: Jemand hat Sie als Betrugsversuch für die...

vor 10 months

HackTool:Win32/Crack: eine bösartige Bedrohung, die Ihr System...

vor 7 months

Eine potenziell ernste Bedrohung: Trojan:Win32/Suschil!rfn

vor 19 days

Was ist die Bedrohung durch den Packunwan-Trojaner und wie...

vor 11 months
Deutsch
Lade...

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Home

Produkte

Cyclonis Password Manager Cyclonis World Time

Unterstützung

Hilfe FAQs Downloads Anfragen & Support

Unternehmen

Über uns Kontaktiere uns Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Datenschutz-Bestimmungen Cookie-Richtlinie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows ist eine Marke von Microsoft, die in den USA und anderen Ländern eingetragen ist.
Mac, iPhone, iPad und App Store sind Marken von Apple Inc., eingetragen in den USA und anderen Ländern.
iOS ist eine eingetragene Marke von Cisco Systems, Inc. und/oder seinen verbundenen Unternehmen in den USA und bestimmten anderen Ländern.
Android und Google Play sind Marken von Google LLC.