MeshAgent 恶意软件在有针对性的网络钓鱼活动中入侵乌克兰政府系统
最近的网络钓鱼活动已入侵了 100 多台乌克兰州和地方政府计算机,通过伪装成乌克兰安全局 (SBU) 官方通信的电子邮件部署了 MeshAgent 恶意软件。乌克兰计算机应急响应小组 (CERT-UA) 于周一确认了此次攻击,凸显了乌克兰在持续冲突中面临的网络威胁日益复杂化。
Table of Contents
攻击如何展开
这些钓鱼邮件看似来自 SBU,指示收件人下载名为“Documents.zip”的文件。该链接发送的不是合法文档,而是一个恶意的 Microsoft 软件安装程序 (MSI) 文件,例如“Scan_docs#40562153.msi”。执行后,该文件会部署 ANONVNC 恶意软件(MeshAgent 软件工具的一个迭代),从而允许攻击者秘密且未经授权地访问受感染的系统。
了解 ANONVNC (MeshAgent) 恶意软件
ANONVNC 恶意软件是 MeshAgent 的一个变种,MeshAgent 是一种远程管理工具,通常与 MeshCentral 开源平台一起使用。尽管 MeshAgent 本身并不具有恶意,但威胁行为者越来越多地利用它建立受感染系统的持久后门,从而通过 VNC、RDP 或 SSH 等协议实现远程访问和控制。
MeshAgent 对网络犯罪分子有吸引力的主要功能包括:
- 无缝连接: MeshCentral 无需用户干预即可与端点连接,这使得攻击者能够轻松维持访问。
- 未经授权的访问:攻击者可以通过 RDP 远程控制受感染的系统,通常无需用户同意或知情。
- 系统控制: MeshAgent 允许远程操作,例如唤醒、重新启动或关闭系统。
- 命令和控制: MeshCentral 可以在目标机器上执行 shell 命令并传输文件,同时逃避检测。
- 无法检测到的操作:该恶意软件在高权限系统账户下运行,并与合法的后台任务混合。
- 唯一文件哈希: MeshAgent 的每个实例都是唯一生成的,这使得基于文件哈希的检测工作变得复杂。
MeshAgent 运行的技术细节
在 Windows 系统上,MeshAgent 通常遵循以下步骤:
- 启动MeshCentral后台服务。
- 连接到MeshCentral服务器,建立通信通道。
- 使用
-fullinstall命令标志进行安装,并将其可执行文件放在C:\Program Files\Mesh Agent\MeshAgent.exe。 - 在
HKLM\System\CurrentControlSet\Services\Mesh Agent的注册表中创建配置存储。 - 在
HKLM\System\CurrentControlSet\Control\SafeBoot\Network\MeshAgent添加注册表项,以在安全模式下启用网络访问。 - 修改 Windows 服务以确保持久性并允许 WebRTC 流量通过防火墙。
- 使用特权系统帐户(例如 NT AUTHORITY\SYSTEM 和 LocalService)执行操作。
重新连接到 MeshCentral 后,MeshAgent 会通过在HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MeshUserTask处创建注册表项来进一步巩固自身,从而安排唤醒、睡眠和命令执行等任务。如果恶意软件未经许可重新连接,它会将连接管理器服务从“按需启动”更改为“自动启动”,以确保继续访问。
更广泛的影响和可疑活动
CERT-UA 的分析表明,此次攻击活动可能超出了乌克兰边境,有证据表明,自 8 月 1 日以来,有超过一千个可能相关的 MSI 和 EXE 文件上传到 pCloud。该攻击活动据信始于 2024 年 7 月,由跟踪为 UAC-0198 的威胁行为者发起。
此次网络钓鱼攻击发生的时间恰逢乌克兰在库尔斯克地区发动大规模军事攻势,这引发人们猜测,此次网络攻击可能是俄罗斯破坏乌克兰政府运作的更广泛战略的一部分。
如何删除 MeshAgent 恶意软件
如果您怀疑您的系统已被 MeshAgent 恶意软件入侵,则必须立即采取行动以减轻威胁。您可以采取以下步骤来删除恶意软件:
- 断开网络:隔离受感染的系统以防止进一步的未经授权的访问。
- 识别并终止恶意进程:使用任务管理器识别并停止与 MeshAgent 相关的任何可疑进程。
- 删除恶意文件:导航到
C:\Program Files\Mesh Agent\并删除MeshAgent.exe文件和相关目录。 - 清理注册表:使用注册表编辑器删除以下键:
-
HKLM\System\CurrentControlSet\Services\Mesh Agent -
HKLM\System\CurrentControlSet\Control\SafeBoot\Network\MeshAgent -
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MeshUserTask
-
- 检查持久性机制:验证 Windows 服务、防火墙设置或计划任务没有进行未经授权的更改。
- 执行完整系统扫描:使用信誉良好的防病毒或反恶意软件扫描整个系统以查找恶意软件的任何残留痕迹。
- 如有必要,重建系统:如果感染严重,请考虑从干净的备份恢复系统或执行完整的操作系统重新安装。
防范未来攻击
为了防止将来的感染,请确保您的电子邮件过滤器已更新,以阻止网络钓鱼电子邮件,使所有软件保持最新版本,并教育用户点击可疑链接或下载未经请求的附件的危险。
通过保持警惕并采取主动的安全措施,组织可以保护其系统免受 MeshAgent 恶意软件等复杂威胁。
