Le malware MeshAgent compromet les systèmes du gouvernement ukrainien dans une campagne de phishing ciblée

Une récente campagne de phishing a compromis plus de 100 ordinateurs de l'État et des collectivités locales ukrainiennes, déployant le malware MeshAgent via des e-mails se faisant passer pour des communications officielles du Service de sécurité ukrainien (SBU). L'équipe d'intervention d'urgence informatique d'Ukraine (CERT-UA) a identifié cette attaque lundi, soulignant la sophistication croissante des cybermenaces auxquelles l'Ukraine est confrontée dans le contexte du conflit en cours.

Comment l'attaque s'est déroulée

Les courriels de phishing, qui semblaient provenir du SBU, demandaient aux destinataires de télécharger un fichier nommé « Documents.zip ». Au lieu de documents légitimes, le lien renvoyait vers un fichier Microsoft Software Installer (MSI) malveillant, tel que « Scan_docs#40562153.msi ». Une fois exécuté, ce fichier déployait le malware ANONVNC, une itération de l'outil logiciel MeshAgent, accordant aux attaquants un accès secret et non autorisé aux systèmes compromis.

Comprendre le malware ANONVNC (MeshAgent)

Le malware ANONVNC est une variante de MeshAgent, un outil de gestion à distance généralement utilisé avec la plateforme open source MeshCentral. Bien que MeshAgent ne soit pas intrinsèquement malveillant, les acteurs malveillants l'utilisent de plus en plus pour établir des portes dérobées persistantes sur les systèmes compromis, permettant l'accès et le contrôle à distance via des protocoles tels que VNC, RDP ou SSH.

Les principales caractéristiques de MeshAgent qui le rendent attrayant pour les cybercriminels sont les suivantes :

  • Connexion transparente : MeshCentral se connecte aux points de terminaison sans intervention de l'utilisateur, ce qui permet aux attaquants de maintenir facilement l'accès.
  • Accès non autorisé : les attaquants peuvent contrôler les systèmes infectés à distance via RDP, souvent sans le consentement ou la connaissance de l'utilisateur.
  • Contrôle du système : MeshAgent permet des opérations à distance, telles que le réveil, le redémarrage ou l'arrêt des systèmes.
  • Commande et contrôle : MeshCentral peut exécuter des commandes shell et transférer des fichiers sur la machine cible, tout en échappant à la détection.
  • Opérations indétectables : le logiciel malveillant fonctionne sous des comptes système hautement privilégiés, se fondant dans les tâches d'arrière-plan légitimes.
  • Hachages de fichiers uniques : chaque instance de MeshAgent est générée de manière unique, ce qui complique les efforts de détection basés sur les hachages de fichiers.

Détails techniques du fonctionnement de MeshAgent

Sur un système Windows, MeshAgent suit généralement ces étapes :

  1. Lance le service d'arrière-plan MeshCentral.
  2. Se connecte au serveur MeshCentral, établissant un canal de communication.
  3. S'installe à l'aide de l'indicateur de commande -fullinstall , en plaçant son exécutable dans C:\Program Files\Mesh Agent\MeshAgent.exe .
  4. Crée un stockage de configuration dans le registre à HKLM\System\CurrentControlSet\Services\Mesh Agent .
  5. Ajoute une clé de registre dans HKLM\System\CurrentControlSet\Control\SafeBoot\Network\MeshAgent pour activer l'accès au réseau en mode sans échec.
  6. Modifie les services Windows pour assurer la persistance et permettre le trafic WebRTC via le pare-feu.
  7. Exécute des actions à l'aide de comptes système privilégiés tels que NT AUTHORITY\SYSTEM et LocalService.

Lors de la reconnexion à MeshCentral, MeshAgent se renforce encore davantage en créant une clé de registre dans HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MeshUserTask , planifiant des tâches telles que la mise en veille, la mise en veille et l'exécution de commandes. Si le logiciel malveillant se reconnecte sans autorisation, il modifie le service de gestion des connexions de « démarrage à la demande » à « démarrage automatique », garantissant ainsi un accès continu.

Conséquences plus larges et campagne suspectée

L'analyse du CERT-UA suggère que cette campagne pourrait s'étendre au-delà des frontières de l'Ukraine, avec des preuves indiquant que plus d'un millier de fichiers MSI et EXE potentiellement liés ont été téléchargés sur pCloud depuis le 1er août. La campagne, qui aurait débuté en juillet 2024, a été attribuée à un acteur de la menace suivi sous le nom d'UAC-0198.

Le moment de l'attaque de phishing coïncide avec une importante offensive militaire ukrainienne dans la région de Koursk, ce qui laisse supposer que cette cyberattaque pourrait faire partie d'une stratégie russe plus large visant à perturber les opérations du gouvernement ukrainien.

Comment supprimer le logiciel malveillant MeshAgent

Si vous pensez que votre système a été compromis par le malware MeshAgent, une action immédiate est essentielle pour atténuer la menace. Voici les étapes à suivre pour supprimer le malware :

  1. Déconnectez-vous du réseau : isolez le système infecté pour empêcher tout accès non autorisé supplémentaire.
  2. Identifier et arrêter les processus malveillants : utilisez le Gestionnaire des tâches pour identifier et arrêter tout processus suspect lié à MeshAgent.
  3. Supprimer les fichiers malveillants : accédez à C:\Program Files\Mesh Agent\ et supprimez le fichier MeshAgent.exe et les répertoires associés.
  4. Nettoyer le registre : utilisez un éditeur de registre pour supprimer les clés suivantes :
    • HKLM\System\CurrentControlSet\Services\Mesh Agent
    • HKLM\System\CurrentControlSet\Control\SafeBoot\Network\MeshAgent
    • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MeshUserTask
  5. Vérifiez les mécanismes de persistance : vérifiez qu’aucune modification non autorisée n’a été apportée aux services Windows, aux paramètres du pare-feu ou aux tâches planifiées.
  6. Effectuez une analyse complète du système : utilisez un logiciel antivirus ou anti-malware réputé pour analyser l'ensemble du système à la recherche de traces restantes de malware.
  7. Reconstruisez le système si nécessaire : si l’infection est grave, envisagez de restaurer le système à partir d’une sauvegarde propre ou d’effectuer une réinstallation complète du système d’exploitation.

Protection contre les attaques futures

Pour éviter de futures infections, assurez-vous que vos filtres de messagerie sont mis à jour pour bloquer les e-mails de phishing, maintenez tous les logiciels à jour et informez les utilisateurs des dangers liés au clic sur des liens suspects ou au téléchargement de pièces jointes non sollicitées.

En restant vigilants et en prenant des mesures de sécurité proactives, les organisations peuvent protéger leurs systèmes contre des menaces sophistiquées telles que les logiciels malveillants MeshAgent.

Par Zane
August 13, 2024
Malware, Phishing
Français
August 13, 2024
Malware, Phishing

Articles Populaires

Qu'est-ce que le fichier OperaGXSetup.exe et est-il malveillant ?

Il y a 11 months

Eporner.com et pourquoi ses pop-ups excessifs sont risqués

Il y a 12 days

Prenez note : quelqu'un vous a ajouté comme arnaque par...

Il y a 10 months

HackTool:Win32/Crack : une menace malveillante qui peut...

Il y a 7 months

Une menace potentiellement sérieuse : Trojan:Win32/Suschil!rfn

Il y a 19 days

Qu'est-ce que la menace du cheval de Troie Packunwan et...

Il y a 11 months
Français
Chargement...

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.