El malware MeshAgent compromete los sistemas del gobierno ucraniano en una campaña de phishing dirigida

Una reciente campaña de phishing ha puesto en peligro más de 100 ordenadores de los gobiernos estatales y locales de Ucrania, distribuyendo el malware MeshAgent a través de correos electrónicos que se hacían pasar por comunicaciones oficiales del Servicio de Seguridad de Ucrania (SBU). El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) identificó este ataque el lunes, lo que pone de relieve la creciente sofisticación de las amenazas cibernéticas a las que se enfrenta Ucrania en medio del conflicto en curso.

Cómo se desarrolló el ataque

Los correos electrónicos de phishing, aparentemente originados en la SBU, dirigían a los destinatarios a descargar un archivo llamado "Documents.zip". En lugar de documentos legítimos, el enlace entregaba un archivo Microsoft Software Installer (MSI) malicioso, como "Scan_docs#40562153.msi". Cuando se ejecutaba, este archivo desplegaba el malware ANONVNC (una versión de la herramienta de software MeshAgent) que otorgaba a los atacantes acceso encubierto y no autorizado a los sistemas comprometidos.

Entender el malware ANONVNC (MeshAgent)

El malware ANONVNC es una variante de MeshAgent, una herramienta de administración remota que se utiliza habitualmente con la plataforma de código abierto MeshCentral. Aunque MeshAgent no es malicioso en sí mismo, los actores de amenazas lo han utilizado cada vez más como arma para establecer puertas traseras persistentes en sistemas comprometidos, lo que permite el acceso y control remotos a través de protocolos como VNC, RDP o SSH.

Las características clave de MeshAgent que lo hacen atractivo para los ciberdelincuentes incluyen:

  • Conexión perfecta: MeshCentral se conecta con los puntos finales sin intervención del usuario, lo que facilita que los atacantes mantengan el acceso.
  • Acceso no autorizado: los atacantes pueden controlar los sistemas infectados de forma remota a través de RDP, a menudo sin el consentimiento o conocimiento del usuario.
  • Control del sistema: MeshAgent permite realizar operaciones remotas, como activar, reiniciar o apagar sistemas.
  • Comando y control: MeshCentral puede ejecutar comandos de shell y transferir archivos en la máquina de destino, todo ello evadiendo la detección.
  • Operaciones indetectables: el malware opera bajo cuentas de sistema altamente privilegiadas y se mezcla con tareas legítimas en segundo plano.
  • Hashes de archivos únicos: cada instancia de MeshAgent se genera de forma única, lo que complica los esfuerzos de detección basados en hashes de archivos.

Detalles técnicos del funcionamiento de MeshAgent

En un sistema Windows, MeshAgent normalmente sigue estos pasos:

  1. Inicia el servicio en segundo plano MeshCentral.
  2. Se conecta al servidor MeshCentral, estableciendo un canal de comunicación.
  3. Se instala utilizando el comando -fullinstall , colocando su ejecutable en C:\Program Files\Mesh Agent\MeshAgent.exe .
  4. Crea almacenamiento de configuración en el registro en HKLM\System\CurrentControlSet\Services\Mesh Agent .
  5. Agrega una clave de registro en HKLM\System\CurrentControlSet\Control\SafeBoot\Network\MeshAgent para habilitar el acceso a la red durante el modo seguro.
  6. Modifica los servicios de Windows para garantizar la persistencia y habilitar el tráfico WebRTC a través del firewall.
  7. Ejecuta acciones utilizando cuentas de sistema privilegiadas como NT AUTHORITY\SYSTEM y LocalService.

Al volver a conectarse a MeshCentral, MeshAgent se atrinchera aún más creando una clave de registro en HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MeshUserTask , programando tareas como reactivación, suspensión y ejecución de comandos. Si el malware se vuelve a conectar sin permiso, modifica el servicio del administrador de conexión de "inicio a pedido" a "inicio automático", lo que garantiza el acceso continuo.

Implicaciones más amplias y presunta campaña

El análisis de CERT-UA sugiere que esta campaña puede extenderse más allá de las fronteras de Ucrania, con evidencia que apunta a más de mil archivos MSI y EXE potencialmente relacionados cargados en pCloud desde el 1 de agosto. La campaña, que se cree que comenzó en julio de 2024, se ha atribuido a un actor de amenazas identificado como UAC-0198.

El momento del ataque de phishing coincide con una importante ofensiva militar ucraniana en la región de Kursk, lo que lleva a especular que este ataque cibernético puede ser parte de una estrategia rusa más amplia para interrumpir las operaciones del gobierno ucraniano.

Cómo eliminar el malware MeshAgent

Si sospecha que el malware MeshAgent ha puesto en peligro su sistema, es fundamental actuar de inmediato para mitigar la amenaza. A continuación, se indican los pasos que puede seguir para eliminar el malware:

  1. Desconectarse de la red: aísle el sistema infectado para evitar más accesos no autorizados.
  2. Identifique y finalice procesos maliciosos: utilice el Administrador de tareas para identificar y detener cualquier proceso sospechoso relacionado con MeshAgent.
  3. Eliminar archivos maliciosos: navegue a C:\Program Files\Mesh Agent\ y elimine el archivo MeshAgent.exe y los directorios asociados.
  4. Limpiar el registro: utilice un editor de registro para eliminar las siguientes claves:
    • HKLM\System\CurrentControlSet\Services\Mesh Agent
    • HKLM\System\CurrentControlSet\Control\SafeBoot\Network\MeshAgent
    • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MeshUserTask
  5. Verificar mecanismos de persistencia: verifique que no se hayan realizado cambios no autorizados en los servicios de Windows, la configuración del firewall o las tareas programadas.
  6. Realice un análisis completo del sistema: utilice un software antivirus o antimalware confiable para analizar todo el sistema en busca de rastros restantes de malware.
  7. Reconstruya el sistema si es necesario: si la infección es grave, considere restaurar el sistema desde una copia de seguridad limpia o realizar una reinstalación completa del sistema operativo.

Protección contra futuros ataques

Para evitar futuras infecciones, asegúrese de que sus filtros de correo electrónico estén actualizados para bloquear correos electrónicos de phishing, mantenga todo el software actualizado y eduque a los usuarios sobre los peligros de hacer clic en enlaces sospechosos o descargar archivos adjuntos no solicitados.

Al mantenerse alerta y tomar medidas de seguridad proactivas, las organizaciones pueden proteger sus sistemas contra amenazas sofisticadas como el malware MeshAgent.

En Zane
August 13, 2024
Malware, Phishing
Spanish
August 13, 2024
Malware, Phishing

Entradas populares

¿Qué es el archivo OperaGXSetup.exe y es malicioso?

Hace 11 months

Eporner.com y por qué sus excesivas ventanas emergentes son...

Hace 12 days

Tome nota: alguien lo agregó como su estafa de correo...

Hace 10 months

HackTool:Win32/Crack: una amenaza maliciosa que puede dañar...

Hace 7 months

Una amenaza potencialmente grave: Trojan:Win32/Suschil!rfn

Hace 19 days

¿Qué es la amenaza del caballo de Troya Packunwan y cómo puede...

Hace 11 months
Spanish
Cargando...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.