Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso MeshAgent

MeshAgent

Por Mezo en Software malicioso
Traducir a:

Más de 100 computadoras del gobierno estatal y local de Ucrania fueron comprometidas por el malware MeshAgent en una campaña de phishing que explotó la confianza en el Servicio de Seguridad de Ucrania (SBU).

El ataque involucró correos electrónicos que parecían provenir del SBU y que contenían un enlace para descargar un archivo denominado 'Documents.zip'.

Sin embargo, al hacer clic en el enlace se descargaba un archivo Microsoft Software Installer (MSI), como 'Scan_docs#40562153.msi'. Al abrir este archivo MSI se activaba la instalación de ANONVNC, también conocido como malware MeshAgent, lo que potencialmente permitía a los atacantes acceder de forma encubierta y no autorizada a los sistemas comprometidos.

Los atacantes podrían haber explotado una herramienta de código abierto

El malware ANONVNC, según el análisis de los investigadores de seguridad, presenta un archivo de configuración que se parece mucho al de la herramienta de software MeshAgent.

MeshAgent es principalmente una herramienta de administración remota diseñada para funcionar con la plataforma de código abierto MeshCentral. Es compatible con varios sistemas operativos, incluidos Windows, Linux, macOS y FreeBSD. Si bien MeshAgent en sí no es malicioso en sí mismo, los cibercriminales lo han estado explotando para crear puertas traseras en puntos finales comprometidos, lo que permite el acceso remoto a través de herramientas como VNC, RDP o SSH.

Recientemente, los investigadores de seguridad han observado un aumento en el uso indebido de MeshAgent por parte de atacantes para mantener la persistencia en sistemas comprometidos y ejecutar comandos remotos.

¿Por qué los cibercriminales secuestraron la herramienta MeshAgent?

  • Conexión perfecta: después de la instalación, MeshCentral establece automáticamente conexiones con los puntos finales sin necesidad de interacción del usuario.
  • Acceso no autorizado : MeshCentral puede acceder a MeshAgent directamente o a través del Protocolo de escritorio remoto (RDP), sin necesidad de permiso del punto final.
  • Control del sistema : tiene la capacidad de activar, reiniciar o apagar puntos finales de forma remota.
  • Comando y control : MeshCentral funciona como un servidor de comando, lo que le permite ejecutar comandos de shell y transferir archivos en el punto final sin el conocimiento del usuario.
  • Operaciones indetectables : las acciones realizadas por MeshCentral operan bajo la cuenta NT AUTHORITY\SYSTEM, lo que las ayuda a integrarse con los procesos en segundo plano normales.
  • Hashes de archivos únicos : cada instancia de MeshAgent se genera de forma única, lo que dificulta su detección únicamente a través de hashes de archivos.
  • Phishing y evasión de firewall : los atacantes distribuyen MeshAgent con frecuencia a través de correos electrónicos de phishing. Su uso de puertos comunes como 80 y 443 para la comunicación aumenta las posibilidades de evadir la detección por parte de los firewalls.

Expertos advierten sobre la posibilidad de una campaña de mayor amenaza

Los investigadores creen que esta última campaña comenzó en julio de 2024 y podría extenderse más allá de las fronteras de Ucrania. El análisis del servicio de almacenamiento de archivos pCloud ha descubierto más de mil archivos EXE y MSI cargados desde el 1 de agosto, algunos de los cuales pueden estar asociados con esta campaña más amplia.

El 6 de agosto, Ucrania lanzó un ataque sorpresa en la región de Kursk. Por primera vez, un alto mando militar confirmó públicamente que las fuerzas de Kiev controlan ahora más de 1.000 kilómetros cuadrados (aproximadamente 386 millas cuadradas) de territorio ruso.

La reciente campaña de phishing, que implementó malware de puerta trasera en los sistemas informáticos del gobierno, coincidió con esta importante ofensiva ucraniana. Sin embargo, Kiev no ha atribuido directamente estos ataques selectivos a Rusia ni a sus operaciones cibernéticas. En cambio, la campaña se ha vinculado a un actor de amenazas identificado como UAC-0198.

Anteriormente, los piratas informáticos rusos habían utilizado tácticas similares, aprovechando el software legítimo de monitoreo y gestión remota (RMM) para espiar a Ucrania y sus aliados. Ocultaron los scripts maliciosos necesarios para descargar y ejecutar el software RMM dentro del código Python legítimo del juego Buscaminas de Microsoft.

Tendencias

Mas Visto

Cargando...