MeshAgent-malware compromitteert Oekraïense overheidssystemen in gerichte phishingcampagne

Een recente phishingcampagne heeft meer dan 100 computers van Oekraïense staats- en lokale overheden gecompromitteerd, waarbij de MeshAgent-malware werd geïmplementeerd via e-mails die zich voordeden als officiële communicatie van de Veiligheidsdienst van Oekraïne (SBU). Het Computer Emergency Response Team van Oekraïne (CERT-UA) identificeerde deze aanval op maandag, wat de toenemende verfijning van cyberdreigingen voor Oekraïne benadrukte te midden van het aanhoudende conflict.

Hoe de aanval zich ontvouwde

De phishing-e-mails, die afkomstig leken te zijn van de SBU, stuurden ontvangers naar een bestand met de naam 'Documents.zip'. In plaats van legitieme documenten leverde de link een schadelijk Microsoft Software Installer (MSI)-bestand op, zoals 'Scan_docs#40562153.msi'. Toen dit bestand werd uitgevoerd, werd de ANONVNC-malware geïmplementeerd, een versie van de MeshAgent-softwaretool, waardoor aanvallers heimelijk en ongeautoriseerd toegang kregen tot de gecompromitteerde systemen.

ANONVNC (MeshAgent)-malware begrijpen

De ANONVNC-malware is een variant van MeshAgent, een tool voor extern beheer die doorgaans wordt gebruikt met het open-sourceplatform MeshCentral. Hoewel MeshAgent niet inherent kwaadaardig is, hebben dreigingsactoren het steeds vaker als wapen gebruikt om persistente backdoors op gecompromitteerde systemen te vestigen, waardoor externe toegang en controle mogelijk is via protocollen zoals VNC, RDP of SSH.

Belangrijke kenmerken van MeshAgent die het aantrekkelijk maken voor cybercriminelen zijn onder andere:

  • Naadloze verbinding: MeshCentral maakt verbinding met eindpunten zonder tussenkomst van de gebruiker, waardoor aanvallers eenvoudig toegang kunnen behouden.
  • Ongeautoriseerde toegang: Aanvallers kunnen de geïnfecteerde systemen op afstand bedienen via RDP, vaak zonder toestemming of medeweten van de gebruiker.
  • Systeembeheer: MeshAgent maakt bediening op afstand mogelijk, zoals het activeren, opnieuw opstarten of uitschakelen van systemen.
  • Commando en controle: MeshCentral kan shell-opdrachten uitvoeren en bestanden overbrengen naar de doelmachine, terwijl detectie wordt ontweken.
  • Ondetecteerbare handelingen: De malware opereert onder zeer bevoorrechte systeemaccounts en vermengt zich met legitieme achtergrondtaken.
  • Unieke bestands-hashes: elk exemplaar van MeshAgent wordt uniek gegenereerd, waardoor detectie op basis van bestands-hashes moeilijker wordt.

Technische details van de werking van MeshAgent

Op een Windows-systeem volgt MeshAgent doorgaans deze stappen:

  1. Start de MeshCentral-achtergrondservice.
  2. Maakt verbinding met de MeshCentral-server en creëert een communicatiekanaal.
  3. Wordt geïnstalleerd met de opdrachtvlag -fullinstall en plaatst het uitvoerbare bestand in C:\Program Files\Mesh Agent\MeshAgent.exe .
  4. Maakt configuratieopslag in het register op HKLM\System\CurrentControlSet\Services\Mesh Agent .
  5. Voegt een registersleutel toe aan HKLM\System\CurrentControlSet\Control\SafeBoot\Network\MeshAgent om netwerktoegang in te schakelen tijdens de veilige modus.
  6. Wijzigt Windows-services om persistentie te garanderen en WebRTC-verkeer via de firewall mogelijk te maken.
  7. Voert acties uit met behulp van bevoorrechte systeemaccounts, zoals NT AUTHORITY\SYSTEM en LocalService.

Bij het opnieuw verbinden met MeshCentral, verankert MeshAgent zichzelf verder door een registersleutel te maken op HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MeshUserTask , waarmee taken zoals waken, slapen en uitvoeren van opdrachten worden gepland. Als de malware opnieuw verbinding maakt zonder toestemming, verandert het de verbindingsbeheerservice van "demand start" naar "auto start", wat zorgt voor voortdurende toegang.

Bredere implicaties en vermoedelijke campagne

Uit de analyse van CERT-UA blijkt dat deze campagne zich mogelijk uitstrekt tot buiten de grenzen van Oekraïne. Er zijn aanwijzingen dat er sinds 1 augustus meer dan duizend mogelijk gerelateerde MSI- en EXE-bestanden zijn geüpload naar pCloud. De campagne, waarvan wordt aangenomen dat deze in juli 2024 is gestart, wordt toegeschreven aan een dreigingsactor die wordt gevolgd als UAC-0198.

De timing van de phishingaanval valt samen met een grootschalig Oekraïens militair offensief in de regio Koersk. Dit leidt tot speculaties dat deze cyberaanval onderdeel is van een bredere Russische strategie om de activiteiten van de Oekraïense overheid te verstoren.

Hoe MeshAgent-malware te verwijderen

Als u vermoedt dat uw systeem is gecompromitteerd door MeshAgent-malware, is onmiddellijke actie essentieel om de dreiging te beperken. Hier zijn stappen die u kunt nemen om de malware te verwijderen:

  1. Koppel de verbinding met het netwerk los: isoleer het geïnfecteerde systeem om verdere ongeautoriseerde toegang te voorkomen.
  2. Identificeer en beëindig schadelijke processen: gebruik Taakbeheer om verdachte processen met betrekking tot MeshAgent te identificeren en te stoppen.
  3. Verwijder schadelijke bestanden: Ga naar C:\Program Files\Mesh Agent\ en verwijder het bestand MeshAgent.exe en de bijbehorende mappen.
  4. Maak het register schoon: gebruik een register-editor om de volgende sleutels te verwijderen:
    • HKLM\System\CurrentControlSet\Services\Mesh Agent
    • HKLM\System\CurrentControlSet\Control\SafeBoot\Network\MeshAgent
    • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MeshUserTask
  5. Controleer op persistentiemechanismen: controleer of er geen ongeautoriseerde wijzigingen zijn aangebracht in Windows-services, firewallinstellingen of geplande taken.
  6. Voer een volledige systeemscan uit: gebruik een betrouwbare antivirus- of anti-malwaresoftware om het volledige systeem te scannen op eventuele resterende sporen van malware.
  7. Herbouw het systeem indien nodig: Als de infectie ernstig is, kunt u overwegen het systeem te herstellen vanaf een schone back-up of een volledige herinstallatie van het besturingssysteem uit te voeren.

Bescherming tegen toekomstige aanvallen

Om toekomstige infecties te voorkomen, moet u ervoor zorgen dat uw e-mailfilters zijn bijgewerkt om phishing-e-mails te blokkeren, alle software up-to-date houden en gebruikers informeren over de gevaren van het klikken op verdachte links of het downloaden van ongevraagde bijlagen.

Door waakzaam te blijven en proactieve beveiligingsmaatregelen te nemen, kunnen organisaties hun systemen beschermen tegen geavanceerde bedreigingen zoals MeshAgent-malware.

Tegen Zane
August 13, 2024
Malware, Phishing
Nederlands
August 13, 2024
Malware, Phishing

Populaire posts

Wat is het bestand OperaGXSetup.exe en is het schadelijk?

11 months geleden

Eporner.com en waarom de overmatige pop-ups riskant zijn

12 days geleden

Let op: iemand heeft u toegevoegd als herstel-e-mailfraude

10 months geleden

HackTool:Win32/Crack: een kwaadaardige bedreiging die uw...

7 months geleden

Een potentieel serieuze bedreiging: Trojan:Win32/Suschil!rfn

19 days geleden

Wat is de Packunwan Trojaanse paardendreiging en welke invloed...

11 months geleden
Nederlands
Bezig met laden...

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.