سازمان‌های دولتی اوکراین هدف کمپین فیشینگ

به گزارش کارگروه حملات سایبری سایبربان؛ بیش از 100 رایانه دولتی اوکراین با بدافزار «MeshAgent» در یک کمپین فیشینگ که از اعتماد به سرویس امنیتی اوکراین (SBU) استفاده می‌کند، در معرض خطر قرار گرفته‌اند.

حمله‍ای که توسط تیم واکنش اضطراری رایانه‌ای اوکراین (CERT-UA) شناسایی شد، شامل ایمیل‌هایی بود که مبدأ آنها ظاهراً از سرویس امنیتی اوکراین بود. این ایمیل‌ها حاوی پیوندی برای دانلود فایلی به نام «Documents.zip» بودند.

با کلیک روی پیوند، یک فایل نصب کننده نرم‌افزار مایکروسافت (MSI) مانند «Scan_docs#40562153.msi» دانلود می‌شود. با باز کردن فایل نصب کننده نرم‌افزار مایکروسافت، «ANONVNC»، که به عنوان بدافزار MeshAgent نیز شناخته می‌شود، آزاد شد. تیم واکنش اضطراری رایانه‌ای اوکراین گفت که این بدافزار به مهاجمان امکان دسترسی مخفیانه و غیرمجاز به ماشین‌های آلوده را می‌دهد.

بدافزار با ویژگی‌های آشنا

بدافزار ANONVNC، براساس کد منبع مشاهده شده توسط محققان تیم واکنش اضطراری رایانه‌ای اوکراین، از یک فایل پیکربندی بسیار شبیه به ابزار نرم‌افزار MeshAgent استفاده کرد.

MeshAgent معمولاً یک ابزار مدیریت از راه دور است که با پلتفرم منبع باز «MeshCentral» کار می‌کند. این برنامه با ویندوز، لینوکس، «macOS» و «FreeBSD» سازگار است. اگرچه برای مخرب بودن طراحی نشده، عوامل تهدید از این ابزار برای ایجاد درهای پشتی در نقاط پایانی سوءاستفاده و امکان دسترسی از راه دور را از طریق برنامه‌هایی مانند «VNC»، «RDP» یا «SSH» فراهم می‌کنند.

اخیراً، محققان امنیتی «Wazuh» به افزایش استفاده نادرست از MeshAgent توسط مهاجمان برای حفظ پایداری در سیستم‌های در معرض خطر و صدور دستورات از راه دور اشاره کردند.

دلیل استفاده عوامل تهدید از MeshAgent به عنوان بدافزار؟

•    اتصال بدون درز : پس از نصب، MeshCentral برای اتصال به نقاط پایانی نیازی به دخالت کاربر ندارد.
•    دسترسی غیرمجاز : MeshCentral می‌تواند بدون رضایت نقطه پایانی به طور مستقیم یا از طریق RDP به MeshAgent دسترسی داشته باشد.
•    کنترل سیستم : می‌تواند نقاط پایانی را بیدار، راه‌اندازی مجدد یا خاموش کند.
•    فرماندهی و کنترل : MeshCentral به عنوان یک سرور فرماندهی عمل و دستورات پوسته را اجرا می‌کند و بدون اطلاع کاربر فایل‌ها را در نقطه پایانی انتقال می‌دهد.
•    عملیات غیرقابل کشف : اقداماتی که توسط MeshCentral آغاز شده‌اند، تحت حساب NT AUTHORITY\SYSTEM اجرا و با کارهای پس زمینه معمول ترکیب می‌شوند.
•    هش فایل منحصر به فرد : هر نمونه MeshAgent به طور منحصربه‌فرد تولید می‌شود و تشخیص توسط هش فایل را به چالش می‌کشد.

مهاجمان اغلب MeshAgent را از طریق ایمیل‌های فیشینگ مستقر می‌کنند. ارتباط آن با پورت‌های استاندارد مانند 80 و 443 احتمال دور زدن فایروال‌ها را افزایش می‌دهد.

در نقطه پایانی ویندوز، MeshAgent معمولاً :

1. سرویس پس زمینه MeshCentral را راه‌اندازی می‌کند.
2. به سرور MeshCentral متصل می‌شود.
3. یک کانال ارتباطی از طریق لوله‌ها ایجاد می‌کند.
4. با استفاده از پرچم دستور «fullinstall» نصب می‌کند.
5. فایل اجرایی خود را در C:\Program Files\Mesh Agent\MeshAgent.exe قرار می دهد.
6. یک کلید رجیستری در HKLM\System\CurrentControlSet\Services\Mesh Agent برای ذخیره سازی پیکربندی ایجاد می‌کند
7. کلید رجیستری دیگری را در HKLM\System\CurrentControlSet\Control\SafeBoot\Network\MeshAgent اضافه و دسترسی به شبکه را در حالت Safe Mode فعال می‌کند.
8. سرویس‌های ویندوز را برای دستیابی به پایداری، از جمله ایجاد یک کلید رجیستری برای اجازه دادن به ترافیک WebRTC از طریق فایروال، تغییر می‌دهد.
9. اکثر اقدامات را با استفاده از حساب‌های دارای امتیاز NT AUTHORITY\SYSTEM و LocalService اجرا می‌کند.

هنگام اتصال مجدد به MeshCentral، MeshAgent:

1. کانال ارتباطی را دوباره برقرار می‌کند.
2. یک کلید رجیستری در HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MeshUserTask برای زمان‌بندی کارهایی مانند wake، sleep، و اجرای دستور ایجاد می‌کند.

اگر MeshCentral مجدداً بدون اجازه وصل شود، سرویس مدیر اتصال را از «شروع تقاضا» به «شروع خودکار» تغییر می‌دهد.

کد منبع MeshAgent به صورت عمومی در گیت‌هاب (Github) در دسترس و پیشنهاد استفاده مجدد از کد بالقوه برای آخرین کمپین است. با توجه به این شباهت کد، تیم واکنش اضطراری رایانه‌ای اوکراین به طور موقت بدافزار کشف شده را ANONVNC نامگذاری کرده است.

کمپین گسترده‌تر مشکوک

به گفته محققان تیم واکنش اضطراری رایانه‌ای اوکراین، اعتقاد بر این است که آخرین کمپین در ماه ژوئیه 2024 آغاز شده و ممکن است فراتر از مرزهای اوکراین گسترش یابد. تجزیه و تحلیل سرویس ذخیره‌سازی فایل «pCloud» نشان داد که بیش از هزار فایل «EXE» و نصب کننده نرم‌افزار مایکروسافت از اول اوت آپلود شده‌اند که برخی از آنها احتمالاً به این کمپین گسترده‌تر مرتبط هستند.

اوکراین در 6 اوت امسال حمله غافلگیرانه‌ای را به روسیه در منطقه کورسک انجام داد و برای اولین بار یک فرمانده ارشد نظامی علناً ادعا کرد که نیروهای کی‌یف اکنون بیش از 1000 کیلومتر مربع (تقریباً 386 مایل مربع) از قلمرو روسیه را تحت کنترل دارند.

زمان کمپین فیشینگ که یک بدافزار پشتی را در سیستم‌های رایانه‌ای دولتی مستقر کرد، به دنبال این حمله شدید اوکراینی است، اما کی‌یف از روسیه یا ارتش سایبری کرملین برای این حملات هدفمند نامی نبرد. در عوض، کمپین را به یک عامل تهدید که تحت عنوان «UAC-0198» دنبال می‌کند، ردیابی کرد.

به گفته محققان، هکرهای روسی قبلاً با استفاده از تاکتیک‌های مشابهی پیدا شده بودند که در آن از نرم‌افزار نظارت و مدیریت از راه دور قانونی برای جاسوسی از اوکراین و متحدانش استفاده می‌کردند. اسکریپت‌های مخرب مورد نیاز برای دانلود و اجرای برنامه RMM بر روی رایانه قربانیان در میان کدهای قانونی پایتون بازی «مین‌سوف» مایکروسافت پنهان شده بود.

تیم واکنش اضطراری رایانه‌ای اوکراین به سرعت اقداماتی را برای کاهش آخرین تهدید سایبری اجرا کرده است. جزئیات خاصی در مورد این اقدامات فاش نشده است.