MeshAgent Malware kompromissar ukrainska myndigheters system i riktad nätfiskekampanj

En nyligen genomförd nätfiskekampanj har äventyrat över 100 ukrainska statliga och lokala datorer, och distribuerat skadlig programvara MeshAgent genom e-postmeddelanden som maskerat sig som officiell kommunikation från Ukrainas säkerhetstjänst (SBU). Computer Emergency Response Team i Ukraina (CERT-UA) identifierade denna attack på måndagen och lyfte fram den ökande sofistikeringen av cyberhot som Ukraina står inför mitt i pågående konflikt.

Hur attacken utvecklades

Nätfiske-e-postmeddelandena, som såg ut att komma från SBU, uppmanade mottagarna att ladda ner en fil med namnet "Documents.zip." Istället för legitima dokument levererade länken en skadlig Microsoft Software Installer-fil (MSI), till exempel "Scan_docs#40562153.msi." När den kördes distribuerade den här filen ANONVNC skadlig kod – en iteration av programvaran MeshAgent – vilket gav angripare hemlig och obehörig åtkomst till de komprometterade systemen.

Förstå ANONVNC (MeshAgent) skadlig programvara

ANONVNC malware är en variant av MeshAgent, ett fjärrhanteringsverktyg som vanligtvis används med MeshCentral open-source-plattformen. Även om MeshAgent inte i sig är skadligt, har hotaktörer i allt större utsträckning beväpnat det för att etablera beständiga bakdörrar på komprometterade system, vilket möjliggör fjärråtkomst och kontroll genom protokoll som VNC, RDP eller SSH.

Nyckelfunktioner hos MeshAgent som gör det attraktivt för cyberbrottslingar inkluderar:

• Sömlös anslutning: MeshCentral ansluter till slutpunkter utan användaringripande, vilket gör det enkelt för angripare att behålla åtkomst.
• Obehörig åtkomst: Angripare kan fjärrstyra de infekterade systemen via RDP, ofta utan användarens medgivande eller vetskap.
• Systemkontroll: MeshAgent tillåter fjärroperationer, som att väcka, starta om eller stänga av system.
• Kommando och kontroll: MeshCentral kan köra skalkommandon och överföra filer på målmaskinen, allt samtidigt som man undviker upptäckt.
• Oupptäckbara operationer: Skadlig programvara fungerar under mycket privilegierade systemkonton, och smälter in med legitima bakgrundsuppgifter.
• Unika filhashar: Varje instans av MeshAgent är unikt genererad, vilket komplicerar upptäcktsinsatser baserat på filhashar.

Tekniska detaljer för MeshAgents funktion

På ett Windows-system följer MeshAgent vanligtvis dessa steg:

1. Startar bakgrundstjänsten MeshCentral.
2. Ansluter till MeshCentral-servern och upprättar en kommunikationskanal.
3. Installerar med kommandoflaggan -fullinstall och placerar dess körbara fil i C:\Program Files\Mesh Agent\MeshAgent.exe .
4. Skapar konfigurationslagring i registret på HKLM\System\CurrentControlSet\Services\Mesh Agent .
5. Lägger till en registernyckel vid HKLM\System\CurrentControlSet\Control\SafeBoot\Network\MeshAgent för att möjliggöra nätverksåtkomst i felsäkert läge.
6. Modifierar Windows-tjänster för att säkerställa beständighet och möjliggöra WebRTC-trafik genom brandväggen.
7. Utför åtgärder med privilegierade systemkonton som NT AUTHORITY\SYSTEM och LocalService.

När MeshAgent återansluter till MeshCentral förankras sig ytterligare genom att skapa en registernyckel vid HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MeshUserTask schemalägga uppgifter som väckning, viloläge och kommandoexekvering. Om skadlig programvara återansluter utan tillstånd ändrar den anslutningshanterarens tjänst från "begär start" till "automatisk start", vilket säkerställer fortsatt åtkomst.

Vidare konsekvenser och misstänkt kampanj

CERT-UAs analys tyder på att denna kampanj kan sträcka sig utanför Ukrainas gränser, med bevis som pekar på över tusen potentiellt relaterade MSI- och EXE-filer som laddats upp till pCloud sedan 1 augusti. Kampanjen, som tros ha startat i juli 2024, har tillskrivits en hotaktör spårad som UAC-0198.

Tidpunkten för nätfiskeattacken sammanfaller med en betydande ukrainsk militäroffensiv i Kursk-regionen, vilket leder till spekulationer om att detta cyberangrepp kan vara en del av en bredare rysk strategi för att störa den ukrainska regeringens verksamhet.

Hur man tar bort MeshAgent Malware

Om du misstänker att ditt system har äventyrats av MeshAgent skadlig programvara är omedelbara åtgärder avgörande för att mildra hotet. Här är steg du kan vidta för att ta bort skadlig programvara:

1. Koppla från nätverket: Isolera det infekterade systemet för att förhindra ytterligare obehörig åtkomst.
2. Identifiera och avsluta skadliga processer: Använd Aktivitetshanteraren för att identifiera och stoppa alla misstänkta processer relaterade till MeshAgent.
3. Ta bort skadliga filer: Navigera till C:\Program Files\Mesh Agent\ och ta bort filen MeshAgent.exe och tillhörande kataloger.
4. Rengör registret: Använd en registerredigerare för att ta bort följande nycklar:
   • HKLM\System\CurrentControlSet\Services\Mesh Agent
   • HKLM\System\CurrentControlSet\Control\SafeBoot\Network\MeshAgent
   • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MeshUserTask
5. Kontrollera om det finns beständighetsmekanismer: Kontrollera att inga obehöriga ändringar har gjorts i Windows-tjänster, brandväggsinställningar eller schemalagda uppgifter.
6. Utför en fullständig systemgenomsökning: Använd välrenommerade antivirus- eller anti-malware-program för att skanna hela systemet efter eventuella kvarvarande spår av skadlig programvara.
7. Bygg om systemet om det behövs: Om infektionen är allvarlig kan du överväga att återställa systemet från en ren säkerhetskopia eller utföra en fullständig ominstallation av operativsystemet.

Skydd mot framtida attacker

För att förhindra framtida infektioner, se till att dina e-postfilter är uppdaterade för att blockera nätfiske-e-post, hålla all programvara uppdaterad och utbilda användare om farorna med att klicka på misstänkta länkar eller ladda ner oönskade bilagor.

Genom att vara vaksam och vidta proaktiva säkerhetsåtgärder kan organisationer skydda sina system mot sofistikerade hot som skadlig programvara MeshAgent.