Το κακόβουλο λογισμικό MeshAgent θέτει σε κίνδυνο τα κυβερνητικά συστήματα της Ουκρανίας σε μια στοχευμένη καμπάνια ηλεκτρονικού ψαρέματος

Μια πρόσφατη εκστρατεία ηλεκτρονικού "ψαρέματος" (phishing) έχει θέσει σε κίνδυνο περισσότερους από 100 κρατικούς και τοπικούς κυβερνητικούς υπολογιστές της Ουκρανίας, αναπτύσσοντας το κακόβουλο λογισμικό MeshAgent μέσω email που μεταμφιέζονται ως επίσημη επικοινωνία από την Υπηρεσία Ασφαλείας της Ουκρανίας (SBU). Η Ομάδα Αντιμετώπισης Έκτακτης Ανάγκης Υπολογιστών της Ουκρανίας (CERT-UA) εντόπισε αυτήν την επίθεση τη Δευτέρα, υπογραμμίζοντας την αυξανόμενη πολυπλοκότητα των απειλών στον κυβερνοχώρο που αντιμετωπίζει η Ουκρανία εν μέσω συνεχιζόμενων συγκρούσεων.

Πώς εκτυλίχθηκε η επίθεση

Τα μηνύματα ηλεκτρονικού ψαρέματος, που φαίνεται να προέρχονται από την SBU, κατευθύνουν τους παραλήπτες να κατεβάσουν ένα αρχείο με το όνομα "Documents.zip". Αντί για νόμιμα έγγραφα, ο σύνδεσμος παρέδωσε ένα κακόβουλο αρχείο Microsoft Software Installer (MSI), όπως "Scan_docs#40562153.msi". Όταν εκτελέστηκε, αυτό το αρχείο ανέπτυξε το κακόβουλο λογισμικό ANONVNC - μια επανάληψη του εργαλείου λογισμικού MeshAgent - παρέχοντας στους εισβολείς μυστική και μη εξουσιοδοτημένη πρόσβαση στα παραβιασμένα συστήματα.

Κατανόηση κακόβουλου λογισμικού ANONVNC (MeshAgent).

Το κακόβουλο λογισμικό ANONVNC είναι μια παραλλαγή του MeshAgent, ενός εργαλείου απομακρυσμένης διαχείρισης που χρησιμοποιείται συνήθως με την πλατφόρμα ανοιχτού κώδικα MeshCentral. Αν και το MeshAgent δεν είναι εγγενώς κακόβουλο, οι φορείς απειλών το έχουν οπλίσει όλο και περισσότερο για να δημιουργήσουν μόνιμες κερκόπορτες σε παραβιασμένα συστήματα, επιτρέποντας την απομακρυσμένη πρόσβαση και τον έλεγχο μέσω πρωτοκόλλων όπως το VNC, το RDP ή το SSH.

Τα βασικά χαρακτηριστικά του MeshAgent που το καθιστούν ελκυστικό για τους εγκληματίες του κυβερνοχώρου περιλαμβάνουν:

  • Απρόσκοπτη σύνδεση: Το MeshCentral συνδέεται με τελικά σημεία χωρίς παρέμβαση του χρήστη, διευκολύνοντας τους εισβολείς να διατηρήσουν την πρόσβαση.
  • Μη εξουσιοδοτημένη πρόσβαση: Οι εισβολείς μπορούν να ελέγξουν τα μολυσμένα συστήματα εξ αποστάσεως μέσω RDP, συχνά χωρίς τη συγκατάθεση ή τη γνώση του χρήστη.
  • Έλεγχος συστήματος: Το MeshAgent επιτρέπει απομακρυσμένες λειτουργίες, όπως αφύπνιση, επανεκκίνηση ή τερματισμό συστημάτων.
  • Εντολή και έλεγχος: Το MeshCentral μπορεί να εκτελέσει εντολές φλοιού και να μεταφέρει αρχεία στο μηχάνημα προορισμού, όλα αυτά αποφεύγοντας τον εντοπισμό.
  • Μη ανιχνεύσιμες λειτουργίες: Το κακόβουλο λογισμικό λειτουργεί υπό εξαιρετικά προνομιούχους λογαριασμούς συστήματος, που συνδυάζονται με νόμιμες εργασίες στο παρασκήνιο.
  • Μοναδικοί κατακερματισμοί αρχείων: Κάθε παρουσία του MeshAgent δημιουργείται μοναδικά, περιπλέκοντας τις προσπάθειες ανίχνευσης που βασίζονται σε κατακερματισμούς αρχείων.

Τεχνικές λεπτομέρειες λειτουργίας του MeshAgent

Σε ένα σύστημα Windows, το MeshAgent ακολουθεί συνήθως τα εξής βήματα:

  1. Εκκινεί την υπηρεσία φόντου MeshCentral.
  2. Συνδέεται με τον διακομιστή MeshCentral, δημιουργώντας ένα κανάλι επικοινωνίας.
  3. Εγκαθίσταται χρησιμοποιώντας τη σημαία εντολής -fullinstall , τοποθετώντας το εκτελέσιμο αρχείο στο C:\Program Files\Mesh Agent\MeshAgent.exe .
  4. Δημιουργεί χώρο αποθήκευσης ρυθμίσεων στο μητρώο στο HKLM\System\CurrentControlSet\Services\Mesh Agent .
  5. Προσθέτει ένα κλειδί μητρώου στο HKLM\System\CurrentControlSet\Control\SafeBoot\Network\MeshAgent για να ενεργοποιήσει την πρόσβαση στο δίκτυο κατά την ασφαλή λειτουργία.
  6. Τροποποιεί τις υπηρεσίες των Windows για να διασφαλίσει τη σταθερότητα και να ενεργοποιήσει την κυκλοφορία WebRTC μέσω του τείχους προστασίας.
  7. Εκτελεί ενέργειες χρησιμοποιώντας προνομιούχους λογαριασμούς συστήματος όπως NT AUTHORITY\SYSTEM και LocalService.

Μετά την επανασύνδεση στο MeshCentral, το MeshAgent εδραιώνεται περαιτέρω δημιουργώντας ένα κλειδί μητρώου στο HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MeshUserTask , προγραμματίζοντας εργασίες όπως εκτέλεση εντολών και αφύπνιση. Εάν το κακόβουλο λογισμικό επανασυνδεθεί χωρίς άδεια, αλλάζει την υπηρεσία διαχείρισης σύνδεσης από "demand start" σε "auto start", εξασφαλίζοντας συνεχή πρόσβαση.

Ευρύτερες επιπτώσεις και ύποπτη καμπάνια

Η ανάλυση του CERT-UA υποδηλώνει ότι αυτή η εκστρατεία μπορεί να επεκταθεί πέρα από τα σύνορα της Ουκρανίας, με στοιχεία που υποδεικνύουν περισσότερα από χίλια δυνητικά σχετικά αρχεία MSI και EXE που ανέβηκαν στο pCloud από την 1η Αυγούστου. Η καμπάνια, που πιστεύεται ότι ξεκίνησε τον Ιούλιο του 2024, έχει αποδοθεί σε Ο παράγοντας απειλής παρακολουθείται ως UAC-0198.

Η χρονική στιγμή της επίθεσης phishing συμπίπτει με μια σημαντική ουκρανική στρατιωτική επίθεση στην περιοχή του Κουρσκ, που οδηγεί σε εικασίες ότι αυτή η κυβερνοεπίθεση μπορεί να είναι μέρος μιας ευρύτερης ρωσικής στρατηγικής για να διαταραχθούν οι επιχειρήσεις της ουκρανικής κυβέρνησης.

Πώς να αφαιρέσετε το κακόβουλο λογισμικό MeshAgent

Εάν υποψιάζεστε ότι το σύστημά σας έχει παραβιαστεί από κακόβουλο λογισμικό MeshAgent, είναι απαραίτητη η άμεση δράση για τον μετριασμό της απειλής. Ακολουθούν τα βήματα που μπορείτε να ακολουθήσετε για να αφαιρέσετε το κακόβουλο λογισμικό:

  1. Αποσύνδεση από το Δίκτυο: Απομονώστε το μολυσμένο σύστημα για να αποτρέψετε περαιτέρω μη εξουσιοδοτημένη πρόσβαση.
  2. Προσδιορισμός και τερματισμός κακόβουλων διεργασιών: Χρησιμοποιήστε τη Διαχείριση εργασιών για να εντοπίσετε και να σταματήσετε τυχόν ύποπτες διαδικασίες που σχετίζονται με το MeshAgent.
  3. Κατάργηση κακόβουλων αρχείων: Μεταβείτε στο C:\Program Files\Mesh Agent\ και διαγράψτε το αρχείο MeshAgent.exe και τους σχετικούς καταλόγους.
  4. Καθαρισμός του μητρώου: Χρησιμοποιήστε έναν επεξεργαστή μητρώου για να καταργήσετε τα ακόλουθα κλειδιά:
    • HKLM\System\CurrentControlSet\Services\Mesh Agent
    • HKLM\System\CurrentControlSet\Control\SafeBoot\Network\MeshAgent
    • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MeshUserTask
  5. Ελέγξτε για Μηχανισμούς Εμμονής: Βεβαιωθείτε ότι δεν έχουν γίνει μη εξουσιοδοτημένες αλλαγές στις υπηρεσίες των Windows, στις ρυθμίσεις του τείχους προστασίας ή στις προγραμματισμένες εργασίες.
  6. Εκτελέστε πλήρη σάρωση συστήματος: Χρησιμοποιήστε αξιόπιστο λογισμικό προστασίας από ιούς ή κακόβουλο λογισμικό για να σαρώσετε ολόκληρο το σύστημα για τυχόν εναπομείναντα ίχνη του κακόβουλου λογισμικού.
  7. Ανακατασκευάστε το σύστημα εάν είναι απαραίτητο: Εάν η μόλυνση είναι σοβαρή, σκεφτείτε να επαναφέρετε το σύστημα από ένα καθαρό αντίγραφο ασφαλείας ή να εκτελέσετε μια πλήρη επανεγκατάσταση του λειτουργικού συστήματος.

Προστασία από μελλοντικές επιθέσεις

Για να αποτρέψετε μελλοντικές μολύνσεις, βεβαιωθείτε ότι τα φίλτρα email σας είναι ενημερωμένα για να μπλοκάρουν τα μηνύματα ηλεκτρονικού ψαρέματος, να διατηρεί όλο το λογισμικό ενημερωμένο και να ενημερώνει τους χρήστες σχετικά με τους κινδύνους από το κλικ σε ύποπτους συνδέσμους ή τη λήψη ανεπιθύμητων συνημμένων.

Παραμένοντας σε εγρήγορση και λαμβάνοντας προληπτικά μέτρα ασφαλείας, οι οργανισμοί μπορούν να προστατεύσουν τα συστήματά τους από εξελιγμένες απειλές όπως το κακόβουλο λογισμικό MeshAgent.

Μέχρι το Zane
August 13, 2024
Κακόβουλο λογισμικό, Phishing
Ελληνικά
August 13, 2024
Κακόβουλο λογισμικό, Phishing

Δημοφιλείς Αναρτήσεις

Τι είναι το Αρχείο OperaGXSetup.exe και είναι κακόβουλο;

11 months πριν

Eporner.com Και γιατί τα υπερβολικά αναδυόμενα παράθυρά του...

12 days πριν

Σημείωση: Κάποιος σας πρόσθεσε ως απάτη μέσω email ανάκτησης

10 months πριν

HackTool:Win32/Crack: μια κακόβουλη απειλή που μπορεί να...

7 months πριν

Μια δυνητικά σοβαρή απειλή: Trojan:Win32/Suschil!rfn

19 days πριν

Τι είναι η απειλή του δούρειου ίππου Packunwan και πώς μπορεί...

11 months πριν
Ελληνικά
Φόρτωση...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Σπίτι

Προϊόντα

Cyclonis Password Manager Cyclonis World Time

Υποστήριξη

Βοήθεια αρχείων Συχνές ερωτήσεις Downloads Inquiries & Support

Εταιρία

Σχετικά με εμάς Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Πολιτική Απορρήτου Πολιτική cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Τα Windows είναι εμπορικό σήμα της Microsoft, καταχωρημένο στις ΗΠΑ και σε άλλες χώρες.
Τα Mac, iPhone, iPad και App Store είναι εμπορικά σήματα της Apple Inc., καταχωρημένα στις ΗΠΑ και σε άλλες χώρες.
Το iOS είναι κατοχυρωμένο εμπορικό σήμα της Cisco Systems, Inc. ή/και των θυγατρικών της στις Ηνωμένες Πολιτείες και ορισμένες άλλες χώρες.
Το Android και το Google Play είναι εμπορικά σήματα της Google LLC.