MeshAgent 惡意軟體在有針對性的網路釣魚活動中危害烏克蘭政府系統

最近的網路釣魚活動已危害了 100 多台烏克蘭國家和地方政府計算機，透過偽裝成烏克蘭安全局 (SBU) 官方通訊的電子郵件部署了 MeshAgent 惡意軟體。烏克蘭電腦緊急應變小組 (CERT-UA) 週一發現了這次攻擊，突顯烏克蘭在持續衝突中面臨的網路威脅日益複雜。

攻擊是如何展開的

這些網路釣魚電子郵件似乎源自 SBU，指示收件者下載名為「Documents.zip」的檔案。此連結傳遞的不是合法文檔，而是惡意 Microsoft 軟體安裝程式 (MSI) 文件，例如「Scan_docs#40562153.msi」。執行後，該檔案部署了 ANONVNC 惡意軟體（MeshAgent 軟體工具的迭代），允許攻擊者秘密且未經授權地存取受感染的系統。

了解 ANONVNC (MeshAgent) 惡意軟體

ANONVNC 惡意軟體是 MeshAgent 的變體，MeshAgent 是一種通常與 MeshCentral 開源平台一起使用的遠端管理工具。儘管 MeshAgent 本質上並不是惡意的，但威脅行為者越來越多地將其武器化，在受感染的系統上建立持久後門，從而透過 VNC、RDP 或 SSH 等協定實現遠端存取和控制。

MeshAgent 對網路犯罪分子具有吸引力的主要功能包括：

• 無縫連接： MeshCentral 無需用戶幹預即可與端點連接，使攻擊者可以輕鬆維持存取。
• 未經授權的存取：攻擊者通常可以在使用者同意或不知情的情況下透過 RDP 遠端控制受感染的系統。
• 系統控制： MeshAgent 允許遠端操作，例如喚醒、重新啟動或關閉系統。
• 指令與控制： MeshCentral 可以在目標電腦上執行 shell 指令並傳輸文件，同時逃避偵測。
• 不可偵測的操作：惡意軟體在高特權系統帳戶下運行，與合法的後台任務混合在一起。
• 唯一的檔案雜湊值： MeshAgent 的每個實例都是唯一產生的，這使得基於檔案雜湊值的偵測工作變得複雜。

MeshAgent 操作的技術細節

在Windows系統上，MeshAgent通常遵循以下步驟：

1. 啟動 MeshCentral 後台服務。
2. 連接到 MeshCentral 伺服器，建立通訊通道。
3. 使用-fullinstall指令標誌進行安裝，並將其執行檔放置在C:\Program Files\Mesh Agent\MeshAgent.exe中。
4. 在登錄中的HKLM\System\CurrentControlSet\Services\Mesh Agent中建立配置儲存。
5. 在HKLM\System\CurrentControlSet\Control\SafeBoot\Network\MeshAgent新增登錄項，以在安全模式期間啟用網路存取。
6. 修改 Windows 服務以確保持久性並允許 WebRTC 流量通過防火牆。
7. 使用特權系統帳戶（例如 NT AUTHORITY\SYSTEM 和 LocalService）執行操作。

重新連線到 MeshCentral 後，MeshAgent 透過在HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MeshUserTask建立登錄項目來進一步鞏固自己的地位，調度喚醒、睡眠和命令執行等任務。如果惡意軟體未經許可重新連接，它會將連接管理器服務從“按需啟動”更改為“自動啟動”，以確保持續存取。

更廣泛的影響和可疑的活動

CERT-UA 的分析表明，該活動可能會超出烏克蘭邊境，有證據表明自8 月1 日以來，有超過1000 個可能相關的MSI 和EXE 檔案上傳到pCloud。 ，歸因於威脅行為者被追蹤為 UAC-0198。

這次網路釣魚攻擊的時間恰逢烏克蘭在庫爾斯克地區發動重大軍事攻勢，導致人們猜測這次網路攻擊可能是俄羅斯擾亂烏克蘭政府運作的更廣泛戰略的一部分。

如何刪除 MeshAgent 惡意軟體

如果您懷疑您的系統已受到 MeshAgent 惡意軟體的危害，請立即採取行動以減輕威脅。您可以採取以下步驟來移除惡意軟體：

1. 中斷網路連線：隔離受感染的系統以防止進一步的未經授權的存取。
2. 識別並終止惡意進程：使用任務管理器識別並停止與 MeshAgent 相關的任何可疑進程。
3. 刪除惡意檔案：導覽至C:\Program Files\Mesh Agent\並刪除MeshAgent.exe檔案和關聯目錄。
4. 清理登錄：使用登錄編輯程式刪除以下項目：
   • HKLM\System\CurrentControlSet\Services\Mesh Agent
   • HKLM\System\CurrentControlSet\Control\SafeBoot\Network\MeshAgent
   • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MeshUserTask
5. 檢查持久性機制：驗證是否未對 Windows 服務、防火牆設定或排程任務進行未經授權的變更。
6. 執行完整系統掃描：使用信譽良好的防毒或反惡意軟體軟體掃描整個系統，以查找惡意軟體的任何剩餘痕跡。
7. 必要時重建系統：如果感染嚴重，請考慮從乾淨的備份復原系統或執行完整的作業系統重新安裝。

防範未來的攻擊

為了防止未來感染，請確保您的電子郵件過濾器已更新以阻止網路釣魚電子郵件，使所有軟體保持最新狀態，並教育用戶了解點擊可疑連結或下載未經請求的附件的危險。

透過保持警惕並採取主動安全措施，組織可以保護其係統免受 MeshAgent 惡意軟體等複雜威脅的侵害。