MeshAgent Malware kompromitterer ukrainske myndigheters systemer i målrettet phishing-kampanje

En nylig phishing-kampanje har kompromittert over 100 ukrainske statlige og lokale myndighetsdatamaskiner, ved å distribuere MeshAgent-malware via e-poster som er maskert som offisiell kommunikasjon fra Ukrainas sikkerhetstjeneste (SBU). Computer Emergency Response Team of Ukraine (CERT-UA) identifiserte dette angrepet på mandag, og fremhevet den økende sofistikeringen av cybertrusler som Ukraina står overfor midt pågående konflikt.

Hvordan angrepet utviklet seg

Phishing-e-postene, som så ut til å stamme fra SBU, ledet mottakerne til å laste ned en fil med navnet "Documents.zip." I stedet for legitime dokumenter leverte koblingen en ondsinnet Microsoft Software Installer-fil (MSI), for eksempel "Scan_docs#40562153.msi." Når den ble utført, distribuerte denne filen ANONVNC-malware – en iterasjon av MeshAgent-programvareverktøyet – som ga angripere skjult og uautorisert tilgang til de kompromitterte systemene.

Forstå ANONVNC (MeshAgent) skadelig programvare

ANONVNC malware er en variant av MeshAgent, et eksternt administrasjonsverktøy som vanligvis brukes med MeshCentral åpen kildekode-plattform. Selv om MeshAgent ikke er iboende ondsinnet, har trusselaktører i økende grad bevæpnet den for å etablere vedvarende bakdører på kompromitterte systemer, noe som muliggjør ekstern tilgang og kontroll gjennom protokoller som VNC, RDP eller SSH.

Nøkkelfunksjonene til MeshAgent som gjør det attraktivt for nettkriminelle inkluderer:

• Sømløs tilkobling: MeshCentral kobles til endepunkter uten brukerintervensjon, noe som gjør det enkelt for angripere å opprettholde tilgangen.
• Uautorisert tilgang: Angripere kan kontrollere de infiserte systemene eksternt via RDP, ofte uten brukerens samtykke eller viten.
• Systemkontroll: MeshAgent tillater fjernoperasjoner, som å vekke, starte på nytt eller slå av systemer.
• Kommando og kontroll: MeshCentral kan utføre skallkommandoer og overføre filer på målmaskinen, alt mens den unndrar seg oppdagelse.
• Uoppdagelige operasjoner: Skadevaren opererer under svært privilegerte systemkontoer, og blander seg med legitime bakgrunnsoppgaver.
• Unike filhasher: Hver forekomst av MeshAgent er unikt generert, noe som kompliserer deteksjonsarbeid basert på filhasher.

Tekniske detaljer om MeshAgents drift

På et Windows-system følger MeshAgent vanligvis disse trinnene:

1. Lanserer bakgrunnstjenesten MeshCentral.
2. Kobler til MeshCentral-serveren, og etablerer en kommunikasjonskanal.
3. Installeres ved å bruke kommandoflagget -fullinstall , og plasserer den kjørbare filen i C:\Program Files\Mesh Agent\MeshAgent.exe .
4. Oppretter konfigurasjonslagring i registeret på HKLM\System\CurrentControlSet\Services\Mesh Agent .
5. Legger til en registernøkkel ved HKLM\System\CurrentControlSet\Control\SafeBoot\Network\MeshAgent for å aktivere nettverkstilgang i sikkermodus.
6. Endrer Windows-tjenester for å sikre utholdenhet og aktivere WebRTC-trafikk gjennom brannmuren.
7. Utfører handlinger ved å bruke privilegerte systemkontoer som NT AUTHORITY\SYSTEM og LocalService.

Ved å koble til MeshCentral igjen, forskanser MeshAgent seg ytterligere ved å opprette en registernøkkel på HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MeshUserTask , og planlegger oppgaver som vekking, dvale og kommandoutførelse. Hvis skadelig programvare kobles til igjen uten tillatelse, endrer den tilkoblingsbehandlingstjenesten fra «demand start» til «auto start», og sikrer fortsatt tilgang.

Større implikasjoner og mistenkt kampanje

CERT-UAs analyse antyder at denne kampanjen kan strekke seg utover Ukrainas grenser, med bevis som peker på over tusen potensielt relaterte MSI- og EXE-filer lastet opp til pCloud siden 1. august. Kampanjen, som antas å ha startet i juli 2024, har blitt tilskrevet en trusselaktør sporet som UAC-0198.

Tidspunktet for phishing-angrepet faller sammen med en betydelig ukrainsk militæroffensiv i Kursk-regionen, noe som fører til spekulasjoner om at dette cyberangrepet kan være en del av en bredere russisk strategi for å forstyrre ukrainske regjeringsoperasjoner.

Slik fjerner du MeshAgent Malware

Hvis du mistenker at systemet ditt har blitt kompromittert av MeshAgent malware, er umiddelbar handling avgjørende for å redusere trusselen. Her er trinnene du kan ta for å fjerne skadelig programvare:

1. Koble fra nettverket: Isoler det infiserte systemet for å forhindre ytterligere uautorisert tilgang.
2. Identifiser og avslutt ondsinnede prosesser: Bruk Task Manager til å identifisere og stoppe alle mistenkelige prosesser relatert til MeshAgent.
3. Fjern skadelige filer: Naviger til C:\Program Files\Mesh Agent\ og slett MeshAgent.exe filen og tilhørende kataloger.
4. Rengjør registeret: Bruk et registerredigeringsprogram for å fjerne følgende nøkler:
   • HKLM\System\CurrentControlSet\Services\Mesh Agent
   • HKLM\System\CurrentControlSet\Control\SafeBoot\Network\MeshAgent
   • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MeshUserTask
5. Se etter persistensmekanismer: Kontroller at ingen uautoriserte endringer er gjort i Windows-tjenester, brannmurinnstillinger eller planlagte oppgaver.
6. Utfør en fullstendig systemskanning: Bruk anerkjent antivirus- eller anti-malware-programvare for å skanne hele systemet for gjenværende spor av skadelig programvare.
7. Gjenoppbygg systemet om nødvendig: Hvis infeksjonen er alvorlig, bør du vurdere å gjenopprette systemet fra en ren sikkerhetskopi eller å utføre en fullstendig OS-installering på nytt.

Beskyttelse mot fremtidige angrep

For å forhindre fremtidige infeksjoner, sørg for at e-postfiltrene dine er oppdatert for å blokkere phishing-e-poster, holde all programvare oppdatert og informere brukere om farene ved å klikke på mistenkelige lenker eller laste ned uønskede vedlegg.

Ved å være på vakt og ta proaktive sikkerhetstiltak, kan organisasjoner beskytte systemene sine mot sofistikerte trusler som MeshAgent malware.