„MeshAgent“ kenkėjiška programa pažeidžia Ukrainos vyriausybės sistemas vykdant tikslinę sukčiavimo kampaniją

Neseniai vykusi sukčiavimo kampanija pakenkė daugiau nei 100 Ukrainos valstybinių ir vietos valdžios kompiuterių, įdiegdama „MeshAgent“ kenkėjišką programinę įrangą el. Ukrainos kompiuterinių avarijų reagavimo komanda (CERT-UA) pirmadienį nustatė šią ataką, pabrėždama, kad vykstant konfliktui Ukrainai kyla vis sudėtingesnės kibernetinės grėsmės.

Kaip prasidėjo puolimas

Sukčiavimo el. laiškai, kurie, atrodo, yra kilę iš SBU, nurodė gavėjams atsisiųsti failą pavadinimu „Documents.zip“. Vietoj teisėtų dokumentų, nuoroda pateikė kenkėjišką „Microsoft Software Installer“ (MSI) failą, pvz., „Scan_docs#40562153.msi“. Vykdant šį failą buvo įdiegta ANONVNC kenkėjiška programa – „MeshAgent“ programinės įrangos įrankio iteracija, suteikianti užpuolikams slaptą ir neteisėtą prieigą prie pažeistų sistemų.

ANONVNC (MeshAgent) kenkėjiškų programų supratimas

ANONVNC kenkėjiška programa yra MeshAgent, nuotolinio valdymo įrankio, paprastai naudojamo su atvirojo kodo platforma MeshCentral, variantas. Nors „MeshAgent“ iš prigimties nėra kenkėjiška, grėsmės veikėjai vis dažniau ją ginkluoja, kad sukurtų nuolatines užpakalines duris pažeistose sistemose, suteikdamos nuotolinę prieigą ir valdymą naudojant tokius protokolus kaip VNC, RDP arba SSH.

Pagrindinės „MeshAgent“ savybės, dėl kurių ji patraukli kibernetiniams nusikaltėliams, yra šios:

• Sklandus ryšys: MeshCentral prisijungia prie galinių taškų be vartotojo įsikišimo, todėl užpuolikai gali lengvai išlaikyti prieigą.
• Neteisėta prieiga: užpuolikai gali nuotoliniu būdu valdyti užkrėstas sistemas per KPP, dažnai be vartotojo sutikimo ar žinios.
• Sistemos valdymas: „MeshAgent“ leidžia atlikti nuotolines operacijas, pvz., pažadinti, paleisti iš naujo arba išjungti sistemas.
• Komandos ir valdymas: „MeshCentral“ gali vykdyti apvalkalo komandas ir perkelti failus į tikslinę mašiną, vengdama aptikimo.
• Neaptinkamos operacijos: kenkėjiška programa veikia naudojant labai privilegijuotąsias sistemos paskyras, derindama su teisėtomis foninėmis užduotimis.
• Unikalios failų maišos: kiekvienas „MeshAgent“ egzempliorius yra sukurtas unikaliai, o tai apsunkina aptikimo pastangas, pagrįstas failų maišais.

Techninė „MeshAgent“ veikimo informacija

„Windows“ sistemoje „MeshAgent“ paprastai atlieka šiuos veiksmus:

1. Paleidžia „MeshCentral“ fono paslaugą.
2. Prisijungia prie MeshCentral serverio ir sukuria ryšio kanalą.
3. Diegiama naudojant komandos vėliavėlę -fullinstall , vykdomąjį failą įdedant į C:\Program Files\Mesh Agent\MeshAgent.exe .
4. Sukuria konfigūracijos saugyklą registre adresu HKLM\System\CurrentControlSet\Services\Mesh Agent .
5. Prideda registro raktą adresu HKLM\System\CurrentControlSet\Control\SafeBoot\Network\MeshAgent kad įgalintų prieigą prie tinklo saugiuoju režimu.
6. Modifikuoja „Windows“ paslaugas, kad užtikrintų pastovumą ir įgalintų WebRTC srautą per užkardą.
7. Atlieka veiksmus naudodama privilegijuotas sistemos paskyras, tokias kaip NT AUTHORITY\SYSTEM ir LocalService.

Iš naujo prisijungus prie „MeshCentral“, „MeshAgent“ dar labiau įsitvirtina sukurdama registro raktą adresu HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MeshUserTask , suplanuodama tokias užduotis kaip pažadinimas, miego režimas ir komandų vykdymas. Jei kenkėjiška programa vėl prisijungia be leidimo, ji pakeičia ryšio tvarkyklės paslaugą iš „paklausos pradžios“ į „automatinį paleidimą“, užtikrindama nuolatinę prieigą.

Platesnės pasekmės ir įtariama kampanija

CERT-UA analizė rodo, kad ši kampanija gali apimti ir už Ukrainos sienų, o įrodymai rodo, kad nuo rugpjūčio 1 d. į pCloud buvo įkelta daugiau nei tūkstantis galimai susijusių MSI ir EXE failų. Manoma, kad kampanija, kuri, kaip manoma, prasidėjo 2024 m. liepos mėn., buvo siejama su grėsmės veikėjas, sekamas kaip UAC-0198.

Sukčiavimo atakos laikas sutampa su reikšmingu Ukrainos kariniu puolimu Kursko srityje, todėl spėliojama, kad šis kibernetinis puolimas gali būti platesnės Rusijos strategijos, kuria siekiama sutrikdyti Ukrainos vyriausybės operacijas, dalis.

Kaip pašalinti „MeshAgent“ kenkėjišką programą

Jei įtariate, kad jūsų sistema buvo pažeista MeshAgent kenkėjiškų programų, būtina nedelsiant imtis veiksmų, kad būtų sumažinta grėsmė. Štai veiksmai, kurių galite imtis norėdami pašalinti kenkėjišką programą:

1. Atsijungti nuo tinklo: izoliuokite užkrėstą sistemą, kad išvengtumėte tolesnės neteisėtos prieigos.
2. Kenkėjiškų procesų nustatymas ir nutraukimas: naudokite užduočių tvarkyklę, kad nustatytumėte ir sustabdytumėte bet kokius įtartinus procesus, susijusius su „MeshAgent“.
3. Pašalinkite kenkėjiškus failus: eikite į C:\Program Files\Mesh Agent\ ir ištrinkite MeshAgent.exe failą ir susijusius katalogus.
4. Išvalykite registrą: naudokite registro rengyklę, kad pašalintumėte šiuos raktus:
   • HKLM\System\CurrentControlSet\Services\Mesh Agent
   • HKLM\System\CurrentControlSet\Control\SafeBoot\Network\MeshAgent
   • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MeshUserTask
5. Patikrinkite, ar nėra patvarumo mechanizmų: patikrinkite, ar nebuvo atlikta neteisėtų „Windows“ paslaugų, ugniasienės nustatymų ar suplanuotų užduočių pakeitimų.
6. Atlikite visą sistemos nuskaitymą: naudokite patikimą antivirusinę arba kenkėjiškų programų programinę įrangą, kad nuskaitytumėte visą sistemą, ar nėra likusių kenkėjiškų programų pėdsakų.
7. Jei reikia, atkurkite sistemą: jei infekcija yra rimta, apsvarstykite galimybę atkurti sistemą iš švarios atsarginės kopijos arba iš naujo įdiegti visą OS.

Apsauga nuo būsimų išpuolių

Kad išvengtumėte būsimų infekcijų, įsitikinkite, kad jūsų el. pašto filtrai yra atnaujinti, kad blokuotų sukčiavimo el. laiškus, kad visa programinė įranga būtų atnaujinta ir informuokite vartotojus apie pavojų spustelėjus įtartinas nuorodas arba atsisiunčiant nepageidaujamus priedus.

Būdamos budrios ir imdamosi aktyvių saugumo priemonių, organizacijos gali apsaugoti savo sistemas nuo sudėtingų grėsmių, tokių kaip „MeshAgent“ kenkėjiška programa.