MeshAgent

Über 100 Computer staatlicher und lokaler Behörden der Ukraine wurden im Rahmen einer Phishing-Kampagne, die das Vertrauen in den Sicherheitsdienst der Ukraine (SBU) ausnutzte, von der Schadsoftware MeshAgent kompromittiert.

Bei dem Angriff handelte es sich um E-Mails, die scheinbar von der SBU stammten und einen Link zum Herunterladen einer Datei mit der Bezeichnung „Documents.zip“ enthielten.

Beim Klicken auf den Link wurde jedoch stattdessen eine Microsoft Software Installer (MSI)-Datei heruntergeladen, z. B. „Scan_docs#40562153.msi“. Das Öffnen dieser MSI-Datei löste die Installation von ANONVNC aus, auch als MeshAgent-Malware bekannt, und ermöglichte Angreifern möglicherweise verdeckten und unbefugten Zugriff auf die infizierten Systeme.

Die Angreifer haben möglicherweise ein Open-Source-Tool ausgenutzt

Wie von Sicherheitsforschern analysiert, verfügt die ANONVNC-Malware über eine Konfigurationsdatei, die der des MeshAgent-Softwaretools stark ähnelt.

MeshAgent ist in erster Linie ein Remote-Verwaltungstool, das für die Open-Source-Plattform MeshCentral entwickelt wurde. Es unterstützt verschiedene Betriebssysteme, darunter Windows, Linux, macOS und FreeBSD. Obwohl MeshAgent selbst nicht von Natur aus bösartig ist, haben Cyberkriminelle es ausgenutzt, um Hintertüren auf kompromittierten Endpunkten zu erstellen und den Fernzugriff über Tools wie VNC, RDP oder SSH zu ermöglichen.

In jüngster Zeit haben Sicherheitsforscher einen Anstieg des Missbrauchs von MeshAgent durch Angreifer beobachtet, um die Persistenz auf kompromittierten Systemen aufrechtzuerhalten und Remote-Befehle auszuführen.

Warum haben Cyberkriminelle das MeshAgent-Tool gekapert?

• Nahtlose Verbindung: Nach der Installation stellt MeshCentral automatisch Verbindungen mit Endpunkten her, ohne dass eine Benutzerinteraktion erforderlich ist.
• Unbefugter Zugriff : MeshCentral kann entweder direkt oder über das Remote Desktop Protocol (RDP) auf MeshAgent zugreifen und umgeht so die Notwendigkeit einer Berechtigung vom Endpunkt.
• Systemsteuerung : Es besteht die Möglichkeit, Endpunkte aus der Ferne zu aktivieren, neu zu starten oder herunterzufahren.
• Befehl und Steuerung : MeshCentral fungiert als Befehlsserver und kann ohne Wissen des Benutzers Shell-Befehle ausführen und Dateien auf dem Endpunkt übertragen.
• Nicht erkennbare Vorgänge : Von MeshCentral ausgeführte Aktionen werden unter dem Konto NT AUTHORITY\SYSTEM ausgeführt, wodurch sie sich in normale Hintergrundprozesse einfügen.
• Eindeutige Datei-Hashes : Jede Instanz von MeshAgent wird eindeutig generiert, was die Erkennung allein anhand von Datei-Hashes erschwert.

Experten warnen vor einer noch größeren Drohkampagne

Forscher gehen davon aus, dass diese jüngste Kampagne im Juli 2024 begann und sich möglicherweise über die Grenzen der Ukraine hinaus ausdehnt. Bei der Analyse des Dateispeicherdienstes pCloud wurden seit dem 1. August über tausend hochgeladene EXE- und MSI-Dateien entdeckt, von denen einige mit dieser umfassenderen Kampagne in Verbindung stehen könnten.

Am 6. August startete die Ukraine einen Überraschungsangriff in der Region Kursk. Zum ersten Mal bestätigte ein hochrangiger Militärkommandeur öffentlich, dass die Streitkräfte Kiews nun über 1.000 Quadratkilometer russischen Territoriums kontrollieren.

Die jüngste Phishing-Kampagne, bei der Backdoor-Malware auf Regierungscomputersystemen eingesetzt wurde, fand zeitgleich mit dieser bedeutenden ukrainischen Offensive statt. Kiew hat diese gezielten Angriffe jedoch nicht direkt Russland oder seinen Cyber-Operationen zugeschrieben. Stattdessen wurde die Kampagne mit einem Bedrohungsakteur namens UAC-0198 in Verbindung gebracht.

Zuvor hatten russische Hacker ähnliche Taktiken angewandt und legitime RMM-Software (Remote Monitoring and Management) genutzt, um die Ukraine und ihre Verbündeten auszuspionieren. Sie versteckten bösartige Skripte, die zum Herunterladen und Ausführen der RMM-Software erforderlich waren, im legitimen Python-Code des Microsoft-Spiels „Minesweeper“.