Oprogramowanie złośliwe MeshAgent zagraża systemom ukraińskiego rządu w ukierunkowanej kampanii phishingowej

Niedawna kampania phishingowa naruszyła bezpieczeństwo ponad 100 komputerów ukraińskich urzędów państwowych i lokalnych, wdrażając złośliwe oprogramowanie MeshAgent za pośrednictwem wiadomości e-mail podszywających się pod oficjalną komunikację Służby Bezpieczeństwa Ukrainy (SBU). Zespół reagowania na incydenty komputerowe Ukrainy (CERT-UA) zidentyfikował ten atak w poniedziałek, podkreślając rosnącą wyrafinowaną naturę cyberzagrożeń, z którymi mierzy się Ukraina w obliczu trwającego konfliktu.

Jak przebiegał atak

Wiadomości e-mail typu phishing, które najprawdopodobniej pochodziły z SBU, kierowały odbiorców do pobrania pliku o nazwie „Documents.zip”. Zamiast legalnych dokumentów, link dostarczał złośliwy plik Microsoft Software Installer (MSI), taki jak „Scan_docs#40562153.msi”. Po uruchomieniu plik ten wdrażał złośliwe oprogramowanie ANONVNC — iterację narzędzia programowego MeshAgent — przyznając atakującym ukryty i nieautoryzowany dostęp do naruszonych systemów.

Zrozumienie złośliwego oprogramowania ANONVNC (MeshAgent)

Oprogramowanie złośliwe ANONVNC jest odmianą MeshAgent, narzędzia do zdalnego zarządzania, zwykle używanego z platformą open source MeshCentral. Chociaż MeshAgent nie jest z natury złośliwy, aktorzy zagrożeń coraz częściej wykorzystują go jako broń do tworzenia trwałych tylnych drzwi w naruszonych systemach, umożliwiając zdalny dostęp i kontrolę za pośrednictwem protokołów takich jak VNC, RDP lub SSH.

Oto główne cechy MeshAgent, które czynią go atrakcyjnym dla cyberprzestępców:

  • Bezproblemowe połączenie: MeshCentral łączy się z punktami końcowymi bez ingerencji użytkownika, co ułatwia atakującym utrzymanie dostępu.
  • Nieautoryzowany dostęp: atakujący mogą kontrolować zainfekowane systemy zdalnie za pośrednictwem protokołu RDP, często bez zgody i wiedzy użytkownika.
  • Kontrola systemu: MeshAgent umożliwia zdalne wykonywanie operacji, takich jak wybudzanie, ponowne uruchamianie i wyłączanie systemów.
  • Polecenia i kontrola: MeshCentral może wykonywać polecenia powłoki i przesyłać pliki na maszynie docelowej, jednocześnie unikając wykrycia.
  • Niewykrywalne operacje: złośliwe oprogramowanie działa na kontach systemowych o wysokich uprawnieniach, wtapiając się w legalne zadania wykonywane w tle.
  • Unikalne skróty plików: Każda instancja MeshAgent jest generowana unikatowo, co utrudnia wykrywanie na podstawie skrótów plików.

Szczegóły techniczne działania MeshAgent

W systemie Windows MeshAgent zazwyczaj wykonuje następujące kroki:

  1. Uruchamia usługę działającą w tle MeshCentral.
  2. Łączy się z serwerem MeshCentral, ustanawiając kanał komunikacyjny.
  3. Instaluje się przy użyciu flagi polecenia -fullinstall , umieszczając plik wykonywalny w C:\Program Files\Mesh Agent\MeshAgent.exe .
  4. Tworzy magazyn konfiguracji w rejestrze HKLM\System\CurrentControlSet\Services\Mesh Agent .
  5. Dodaje klucz rejestru w HKLM\System\CurrentControlSet\Control\SafeBoot\Network\MeshAgent aby umożliwić dostęp do sieci w trybie awaryjnym.
  6. Modyfikuje usługi systemu Windows, aby zapewnić trwałość i umożliwić ruch WebRTC przez zaporę.
  7. Wykonuje akcje przy użyciu uprzywilejowanych kont systemowych, takich jak NT AUTHORITY\SYSTEM i LocalService.

Po ponownym połączeniu z MeshCentral, MeshAgent jeszcze bardziej się umacnia, tworząc klucz rejestru w HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MeshUserTask , planując zadania, takie jak wybudzanie, uśpienie i wykonywanie poleceń. Jeśli złośliwe oprogramowanie połączy się ponownie bez pozwolenia, zmienia usługę menedżera połączeń z „start na żądanie” na „start automatyczny”, zapewniając ciągły dostęp.

Szersze implikacje i podejrzenie kampanii

Analiza CERT-UA sugeruje, że kampania może wykraczać poza granice Ukrainy. Istnieją dowody wskazujące na ponad tysiąc potencjalnie powiązanych plików MSI i EXE przesłanych do pCloud od 1 sierpnia. Uważa się, że kampania rozpoczęła się w lipcu 2024 r., a jej sprawcą jest osoba atakująca oznaczona jako UAC-0198.

Czas ataku phishingowego zbiegł się ze znaczącą ukraińską ofensywą militarną w obwodzie kurskim, co wywołało spekulacje, że ten cyberatak może być częścią szerszej rosyjskiej strategii mającej na celu zakłócenie działań ukraińskiego rządu.

Jak usunąć złośliwe oprogramowanie MeshAgent

Jeśli podejrzewasz, że Twój system został naruszony przez złośliwe oprogramowanie MeshAgent, natychmiastowe działanie jest niezbędne, aby złagodzić zagrożenie. Oto kroki, które możesz podjąć, aby usunąć złośliwe oprogramowanie:

  1. Odłącz się od sieci: Odizoluj zainfekowany system, aby zapobiec dalszemu nieautoryzowanemu dostępowi.
  2. Identyfikuj i zatrzymuj złośliwe procesy: Użyj Menedżera zadań, aby identyfikować i zatrzymywać podejrzane procesy związane z MeshAgent.
  3. Usuń złośliwe pliki: Przejdź do C:\Program Files\Mesh Agent\ i usuń plik MeshAgent.exe oraz powiązane z nim katalogi.
  4. Wyczyść rejestr: Użyj edytora rejestru, aby usunąć następujące klucze:
    • HKLM\System\CurrentControlSet\Services\Mesh Agent
    • HKLM\System\CurrentControlSet\Control\SafeBoot\Network\MeshAgent
    • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MeshUserTask
  5. Sprawdź mechanizmy trwałości: Upewnij się, że nie wprowadzono żadnych nieautoryzowanych zmian w usługach systemu Windows, ustawieniach zapory lub zaplanowanych zadaniach.
  6. Wykonaj pełne skanowanie systemu: Użyj sprawdzonego oprogramowania antywirusowego lub antymalware, aby przeskanować cały system w poszukiwaniu wszelkich śladów złośliwego oprogramowania.
  7. W razie konieczności odbuduj system: Jeśli infekcja jest poważna, rozważ przywrócenie systemu z czystej kopii zapasowej lub przeprowadzenie pełnej ponownej instalacji systemu operacyjnego.

Ochrona przed przyszłymi atakami

Aby zapobiec przyszłym infekcjom, upewnij się, że filtry Twojej poczty e-mail są zaktualizowane i blokują wiadomości phishingowe, aktualizuj oprogramowanie i informuj użytkowników o zagrożeniach związanych z klikaniem podejrzanych linków lub pobieraniem niechcianych załączników.

Dzięki zachowaniu czujności i podejmowaniu proaktywnych środków bezpieczeństwa organizacje mogą zabezpieczyć swoje systemy przed zaawansowanymi zagrożeniami, np. złośliwym oprogramowaniem MeshAgent.

Do Zane
August 13, 2024
Złośliwe oprogramowanie, Phishing
Polski
August 13, 2024
Złośliwe oprogramowanie, Phishing

Popularne posty

Co to jest plik OperaGXSetup.exe i czy jest złośliwy?

11 months temu

Eporner.com i dlaczego jego nadmierna liczba wyskakujących...

12 days temu

Uwaga: ktoś dodał Cię jako oszustwo związane z e-mailem...

10 months temu

HackTool:Win32/Crack: Złośliwe zagrożenie, które może poważnie...

7 months temu

Potencjalnie poważne zagrożenie: Trojan:Win32/Suschil!rfn

19 days temu

Czym jest zagrożenie związane z koniem trojańskim Packunwan i...

11 months temu
Polski
Ładowanie...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Dom

Produkty

Cyclonis Password Manager Cyclonis World Time

Wsparcie

Pliki pomocy FAQ Downloads Inquiries & Support

Firma

O nas Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Polityka prywatności Polityka Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows jest znakiem towarowym firmy Microsoft, zarejestrowanym w Stanach Zjednoczonych i innych krajach.
Mac, iPhone, iPad i App Store są znakami towarowymi firmy Apple Inc., zarejestrowanymi w Stanach Zjednoczonych i innych krajach.
iOS jest zastrzeżonym znakiem towarowym firmy Cisco Systems, Inc. i/lub jej oddziałów w Stanach Zjednoczonych i niektórych innych krajach.
Android i Google Play są znakami towarowymi firmy Google LLC.