Il malware MeshAgent compromette i sistemi del governo ucraino in una campagna di phishing mirata

Una recente campagna di phishing ha compromesso oltre 100 computer di enti statali e locali ucraini, distribuendo il malware MeshAgent tramite e-mail mascherate da comunicazioni ufficiali del Security Service of Ukraine (SBU). Il Computer Emergency Response Team of Ukraine (CERT-UA) ha identificato questo attacco lunedì, evidenziando la crescente sofisticatezza delle minacce informatiche che l'Ucraina deve affrontare nel mezzo del conflitto in corso.

Come si è svolto l'attacco

Le e-mail di phishing, apparentemente provenienti dalla SBU, indirizzavano i destinatari a scaricare un file denominato "Documents.zip". Invece di documenti legittimi, il collegamento inviava un file dannoso Microsoft Software Installer (MSI), come "Scan_docs#40562153.msi". Una volta eseguito, questo file distribuiva il malware ANONVNC, un'iterazione dello strumento software MeshAgent, garantendo agli aggressori un accesso nascosto e non autorizzato ai sistemi compromessi.

Informazioni sul malware ANONVNC (MeshAgent)

Il malware ANONVNC è una variante di MeshAgent, uno strumento di gestione remota solitamente utilizzato con la piattaforma open source MeshCentral. Sebbene MeshAgent non sia intrinsecamente dannoso, gli autori delle minacce lo hanno sempre più utilizzato come arma per stabilire backdoor persistenti su sistemi compromessi, consentendo l'accesso e il controllo remoti tramite protocolli come VNC, RDP o SSH.

Le caratteristiche principali di MeshAgent che lo rendono interessante per i criminali informatici includono:

  • Connessione fluida: MeshCentral si connette agli endpoint senza l'intervento dell'utente, facilitando l'accesso da parte degli aggressori.
  • Accesso non autorizzato: gli aggressori possono controllare i sistemi infetti da remoto tramite RDP, spesso senza il consenso o la conoscenza dell'utente.
  • Controllo del sistema: MeshAgent consente operazioni remote, come la riattivazione, il riavvio o l'arresto dei sistemi.
  • Comando e controllo: MeshCentral può eseguire comandi shell e trasferire file sul computer di destinazione, il tutto eludendo il rilevamento.
  • Operazioni non rilevabili: il malware opera tramite account di sistema con privilegi elevati, mimetizzandosi con attività in background legittime.
  • Hash di file univoci: ogni istanza di MeshAgent viene generata in modo univoco, complicando così gli sforzi di rilevamento basati sugli hash dei file.

Dettagli tecnici del funzionamento di MeshAgent

Su un sistema Windows, MeshAgent in genere segue questi passaggi:

  1. Avvia il servizio in background MeshCentral.
  2. Si connette al server MeshCentral, stabilendo un canale di comunicazione.
  3. Si installa utilizzando il flag di comando -fullinstall , posizionando il suo eseguibile in C:\Program Files\Mesh Agent\MeshAgent.exe .
  4. Crea un archivio di configurazione nel registro in HKLM\System\CurrentControlSet\Services\Mesh Agent .
  5. Aggiunge una chiave di registro in HKLM\System\CurrentControlSet\Control\SafeBoot\Network\MeshAgent per abilitare l'accesso alla rete durante la modalità provvisoria.
  6. Modifica i servizi Windows per garantire la persistenza e abilitare il traffico WebRTC attraverso il firewall.
  7. Esegue azioni utilizzando account di sistema privilegiati quali NT AUTHORITY\SYSTEM e LocalService.

Dopo essersi riconnessa a MeshCentral, MeshAgent si consolida ulteriormente creando una chiave di registro in HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MeshUserTask , pianificando attività come wake, sleep ed esecuzione di comandi. Se il malware si riconnette senza autorizzazione, modifica il servizio di gestione delle connessioni da "avvio a richiesta" ad "avvio automatico", garantendo un accesso continuo.

Implicazioni più ampie e sospetta campagna

L'analisi di CERT-UA suggerisce che questa campagna potrebbe estendersi oltre i confini dell'Ucraina, con prove che indicano oltre un migliaio di file MSI ed EXE potenzialmente correlati caricati su pCloud dal 1° agosto. La campagna, che si ritiene sia iniziata a luglio 2024, è stata attribuita a un autore della minaccia identificato come UAC-0198.

La tempistica dell'attacco di phishing coincide con una significativa offensiva militare ucraina nella regione di Kursk, il che ha portato a ipotizzare che questo attacco informatico possa far parte di una più ampia strategia russa per interrompere le operazioni del governo ucraino.

Come rimuovere il malware MeshAgent

Se sospetti che il tuo sistema sia stato compromesso dal malware MeshAgent, è essenziale agire immediatamente per mitigare la minaccia. Ecco i passaggi che puoi seguire per rimuovere il malware:

  1. Disconnetti dalla rete: isola il sistema infetto per impedire ulteriori accessi non autorizzati.
  2. Identifica e termina i processi dannosi: utilizza Task Manager per identificare e interrompere tutti i processi sospetti correlati a MeshAgent.
  3. Rimuovere i file dannosi: andare su C:\Program Files\Mesh Agent\ ed eliminare il file MeshAgent.exe e le directory associate.
  4. Pulisci il registro: utilizza un editor del registro per rimuovere le seguenti chiavi:
    • HKLM\System\CurrentControlSet\Services\Mesh Agent
    • HKLM\System\CurrentControlSet\Control\SafeBoot\Network\MeshAgent
    • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MeshUserTask
  5. Controllare i meccanismi di persistenza: verificare che non siano state apportate modifiche non autorizzate ai servizi Windows, alle impostazioni del firewall o alle attività pianificate.
  6. Esegui una scansione completa del sistema: utilizza un software antivirus o antimalware affidabile per analizzare l'intero sistema alla ricerca di eventuali tracce residue del malware.
  7. Ricostruire il sistema se necessario: se l'infezione è grave, valutare di ripristinare il sistema da un backup pulito o di eseguire una reinstallazione completa del sistema operativo.

Protezione contro attacchi futuri

Per prevenire future infezioni, assicurati che i filtri della tua posta elettronica siano aggiornati per bloccare le e-mail di phishing, mantieni aggiornato tutto il software e informa gli utenti sui pericoli derivanti dal cliccare su link sospetti o dal scaricare allegati indesiderati.

Restando vigili e adottando misure di sicurezza proattive, le organizzazioni possono proteggere i propri sistemi da minacce sofisticate come il malware MeshAgent.

Entro il Zane
August 13, 2024
Malware, Phishing
Italiano
August 13, 2024
Malware, Phishing

Post popolari

Cos'è il file OperaGXSetup.exe ed è dannoso?

11 months fa

Eporner.com e perché i suoi pop-up eccessivi sono rischiosi

12 days fa

Prendi nota: qualcuno ti ha aggiunto come truffa tramite email...

10 months fa

HackTool:Win32/Crack: una minaccia dannosa che può danneggiare...

7 months fa

Una minaccia potenzialmente seria: Trojan:Win32/Suschil!rfn

19 days fa

Cos'è la minaccia del cavallo di Troia Packunwan e come può...

11 months fa
Italiano
Caricamento in corso...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Prodotti

Cyclonis Password Manager Cyclonis World Time

Supporto

File di aiuto FAQs Downloads Inquiries & Support

Azienda

Riguardo a noi Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politica sulla riservatezza Gestione dei Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows è un marchio di Microsoft, registrato negli Stati Uniti e in altri paesi.
Mac, iPhone, iPad e App Store sono marchi di Apple Inc., registrati negli Stati Uniti e in altri paesi.
iOS è un marchio registrato di Cisco Systems, Inc. e/o delle sue affiliate negli Stati Uniti e in alcuni altri paesi.
Android e Google Play sono marchi di Google LLC.