MeshAgent マルウェアが標的型フィッシング攻撃でウクライナ政府システムを侵害

最近のフィッシング攻撃により、ウクライナの州政府および地方自治体のコンピューター 100 台以上が侵害され、ウクライナ保安庁 (SBU) からの公式通信を装った電子メールを通じて MeshAgent マルウェアが展開された。ウクライナのコンピューター緊急対応チーム (CERT-UA) は月曜日にこの攻撃を特定し、紛争が続く中、ウクライナが直面しているサイバー脅威がますます巧妙化していることを浮き彫りにした。

Table of Contents

攻撃の経緯

SBU から送信されたように見えるフィッシングメールは、受信者に「Documents.zip」というファイルをダウンロードするように指示します。正規のドキュメントではなく、リンクは「Scan_docs#40562153.msi」などの悪意のある Microsoft Software Installer (MSI) ファイルを配信します。このファイルを実行すると、MeshAgent ソフトウェアツールの反復である ANONVNC マルウェアが展開され、攻撃者は侵害されたシステムに秘密裏に不正にアクセスできるようになります。

ANONVNC (MeshAgent) マルウェアの理解

ANONVNC マルウェアは、MeshCentral オープンソースプラットフォームで一般的に使用されるリモート管理ツールである MeshAgent の亜種です。MeshAgent は本質的に悪意のあるものではありませんが、脅威アクターはこれを武器にして、侵害されたシステムに永続的なバックドアを確立し、VNC、RDP、SSH などのプロトコルを介してリモートアクセスと制御を可能にするケースが増えています。

サイバー犯罪者にとって魅力的な MeshAgent の主な機能は次のとおりです。

シームレスな接続: MeshCentral はユーザーの介入なしにエンドポイントに接続するため、攻撃者がアクセスを維持しやすくなります。
不正アクセス:攻撃者は、多くの場合、ユーザーの同意や認識なしに、RDP 経由で感染したシステムをリモートで制御できます。
システム制御: MeshAgent を使用すると、システムの起動、再起動、シャットダウンなどのリモート操作が可能になります。
コマンドと制御: MeshCentral は、検出を回避しながら、シェルコマンドを実行し、ターゲットマシン上でファイルを転送できます。
検出されない操作:マルウェアは、高い権限を持つシステムアカウントで動作し、正当なバックグラウンドタスクに溶け込みます。
一意のファイルハッシュ: MeshAgent の各インスタンスは一意に生成されるため、ファイルハッシュに基づく検出作業が複雑になります。

MeshAgentの動作の技術的詳細

Windows システムでは、MeshAgent は通常次の手順に従います。

MeshCentral バックグラウンドサービスを起動します。
MeshCentral サーバーに接続し、通信チャネルを確立します。
-fullinstallコマンドフラグを使用してインストールし、実行可能ファイルをC:\Program Files\Mesh Agent\MeshAgent.exeに配置します。
HKLM\System\CurrentControlSet\Services\Mesh Agentのレジストリに構成ストレージを作成します。
セーフモード中にネットワークアクセスを有効にするためにHKLM\System\CurrentControlSet\Control\SafeBoot\Network\MeshAgentにレジストリキーを追加します。
Windows サービスを変更して永続性を確保し、ファイアウォールを介した WebRTC トラフィックを有効にします。
NT AUTHORITY\SYSTEM や LocalService などの特権システムアカウントを使用してアクションを実行します。

MeshCentral に再接続すると、MeshAgent はHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MeshUserTaskにレジストリキーを作成してさらに侵入し、ウェイク、スリープ、コマンド実行などのタスクをスケジュールします。マルウェアが許可なく再接続すると、接続マネージャサービスを「要求開始」から「自動開始」に変更して、アクセスが継続されるようにします。

より広範な影響と疑われるキャンペーン

CERT-UA の分析によると、このキャンペーンはウクライナ国境を越えて拡大する可能性があり、8 月 1 日以降に pCloud にアップロードされた 1,000 を超える関連のある MSI ファイルと EXE ファイルが証拠として挙げられています。2024 年 7 月に開始されたと考えられているこのキャンペーンは、UAC-0198 として追跡されている脅威アクターによるものとされています。

フィッシング攻撃のタイミングは、クルスク地域でのウクライナ軍の大規模な攻勢と一致しており、このサイバー攻撃はウクライナ政府の活動を混乱させるためのロシアのより広範な戦略の一部である可能性があるという憶測が広まっている。

MeshAgent マルウェアを削除する方法

システムが MeshAgent マルウェアに感染した疑いがある場合は、脅威を軽減するために直ちに行動を起こすことが不可欠です。マルウェアを削除するには、以下の手順を実行してください。

ネットワークから切断:感染したシステムを隔離して、さらなる不正アクセスを防ぎます。
悪意のあるプロセスを特定して終了する:タスクマネージャーを使用して、MeshAgent に関連する疑わしいプロセスを特定して停止します。
悪意のあるファイルを削除する: C:\Program Files\Mesh Agent\に移動し、 MeshAgent.exeファイルと関連ディレクトリを削除します。
レジストリをクリーンアップする:レジストリエディターを使用して、次のキーを削除します。
- HKLM\System\CurrentControlSet\Services\Mesh Agent
- HKLM\System\CurrentControlSet\Control\SafeBoot\Network\MeshAgent
- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MeshUserTask
永続性メカニズムの確認: Windows サービス、ファイアウォール設定、またはスケジュールされたタスクに不正な変更が加えられていないことを確認します。
システム全体のスキャンを実行する:信頼できるウイルス対策ソフトウェアまたはマルウェア対策ソフトウェアを使用して、システム全体をスキャンし、マルウェアの痕跡が残っていないかどうかを確認します。
必要に応じてシステムを再構築する:感染が深刻な場合は、クリーンなバックアップからシステムを復元するか、完全な OS の再インストールを実行することを検討してください。