Вредоносное ПО MeshAgent наносит ущерб украинским правительственным системам в ходе целенаправленной фишинговой кампании

Недавняя фишинговая кампания скомпрометировала более 100 украинских государственных и местных правительственных компьютеров, внедряя вредоносное ПО MeshAgent через электронные письма, маскирующиеся под официальное сообщение Службы безопасности Украины (СБУ). Украинская команда реагирования на компьютерные чрезвычайные ситуации (CERT-UA) выявила эту атаку в понедельник, подчеркнув растущую изощренность киберугроз, с которыми сталкивается Украина в условиях продолжающегося конфликта.

Как разворачивалась атака

Фишинговые письма, отправленные, по всей видимости, из СБУ, предлагали получателям загрузить файл с именем «Documents.zip». Вместо легитимных документов ссылка доставляла вредоносный файл Microsoft Software Installer (MSI), такой как «Scan_docs#40562153.msi». При запуске этот файл развертывал вредоносную программу ANONVNC — итерацию программного инструмента MeshAgent — предоставляя злоумышленникам скрытый и несанкционированный доступ к скомпрометированным системам.

Понимание вредоносного ПО ANONVNC (MeshAgent)

Вредоносное ПО ANONVNC является вариантом MeshAgent, инструмента удаленного управления, который обычно используется с платформой MeshCentral с открытым исходным кодом. Хотя MeshAgent по своей сути не является вредоносным, злоумышленники все чаще используют его в качестве оружия для создания постоянных бэкдоров на скомпрометированных системах, обеспечивая удаленный доступ и управление через такие протоколы, как VNC, RDP или SSH.

Ключевые особенности MeshAgent, которые делают его привлекательным для киберпреступников, включают в себя:

• Бесперебойное подключение: MeshCentral подключается к конечным точкам без вмешательства пользователя, что упрощает злоумышленникам сохранение доступа.
• Несанкционированный доступ: злоумышленники могут управлять зараженными системами удаленно через RDP, часто без согласия или ведома пользователя.
• Управление системой: MeshAgent позволяет выполнять удаленные операции, такие как пробуждение, перезапуск или выключение систем.
• Управление и контроль: MeshCentral может выполнять команды оболочки и передавать файлы на целевую машину, при этом избегая обнаружения.
• Необнаруживаемые операции: вредоносная программа работает под высокопривилегированными системными учетными записями, сливаясь с легитимными фоновыми задачами.
• Уникальные хэши файлов: каждый экземпляр MeshAgent генерируется уникально, что усложняет обнаружение на основе хэшей файлов.

Технические подробности работы MeshAgent

В системе Windows MeshAgent обычно выполняет следующие действия:

1. Запускает фоновый сервис MeshCentral.
2. Подключается к серверу MeshCentral, устанавливая канал связи.
3. Устанавливается с использованием флага команды -fullinstall , помещая исполняемый файл в C:\Program Files\Mesh Agent\MeshAgent.exe .
4. Создает хранилище конфигурации в реестре по адресу HKLM\System\CurrentControlSet\Services\Mesh Agent .
5. Добавляет раздел реестра HKLM\System\CurrentControlSet\Control\SafeBoot\Network\MeshAgent для включения сетевого доступа в безопасном режиме.
6. Изменяет службы Windows для обеспечения устойчивости и пропускания трафика WebRTC через брандмауэр.
7. Выполняет действия с использованием привилегированных системных учетных записей, таких как NT AUTHORITY\SYSTEM и LocalService.

При повторном подключении к MeshCentral MeshAgent еще больше укрепляется, создавая раздел реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MeshUserTask , планируя такие задачи, как пробуждение, сон и выполнение команд. Если вредоносная программа повторно подключается без разрешения, она изменяет службу диспетчера подключений с «запуска по требованию» на «автоматический запуск», обеспечивая постоянный доступ.

Более широкие последствия и предполагаемая кампания

Анализ CERT-UA предполагает, что эта кампания может выйти за пределы границ Украины, и доказательства указывают на более чем тысячу потенциально связанных файлов MSI и EXE, загруженных в pCloud с 1 августа. Кампания, предположительно начавшаяся в июле 2024 года, приписывается злоумышленнику, отслеживаемому как UAC-0198.

Время фишинговой атаки совпало с масштабным наступлением украинских войск в Курской области, что наводит на мысль о том, что эта кибератака может быть частью более широкой российской стратегии по срыву деятельности украинского правительства.

Как удалить вредоносное ПО MeshAgent

Если вы подозреваете, что ваша система была скомпрометирована вредоносным ПО MeshAgent, необходимо немедленно принять меры для устранения угрозы. Вот шаги, которые вы можете предпринять для удаления вредоносного ПО:

1. Отключитесь от сети: изолируйте зараженную систему, чтобы предотвратить дальнейший несанкционированный доступ.
2. Выявление и прекращение вредоносных процессов: используйте диспетчер задач для выявления и прекращения любых подозрительных процессов, связанных с MeshAgent.
3. Удаление вредоносных файлов: Перейдите в C:\Program Files\Mesh Agent\ и удалите файл MeshAgent.exe и связанные с ним каталоги.
4. Очистите реестр: используйте редактор реестра, чтобы удалить следующие ключи:
   • HKLM\System\CurrentControlSet\Services\Mesh Agent
   • HKLM\System\CurrentControlSet\Control\SafeBoot\Network\MeshAgent
   • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MeshUserTask
5. Проверьте механизмы сохранения: убедитесь, что не было внесено несанкционированных изменений в службы Windows, настройки брандмауэра или запланированные задачи.
6. Выполните полное сканирование системы: используйте надежное антивирусное или антивредоносное программное обеспечение, чтобы просканировать всю систему на предмет оставшихся следов вредоносного ПО.
7. При необходимости перестройте систему: если заражение серьезное, рассмотрите возможность восстановления системы из чистой резервной копии или выполнения полной переустановки ОС.

Защита от будущих атак

Чтобы предотвратить будущие заражения, убедитесь, что ваши фильтры электронной почты обновлены для блокировки фишинговых писем, регулярно обновляйте все программное обеспечение и информируйте пользователей об опасностях перехода по подозрительным ссылкам или загрузки нежелательных вложений.

Сохраняя бдительность и принимая упреждающие меры безопасности, организации могут защитить свои системы от сложных угроз, таких как вредоносное ПО MeshAgent.