Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants MeshAgent

MeshAgent

Par Mezo en Logiciels malveillants
Se traduisent par :

Plus de 100 ordinateurs de l'État et des collectivités locales ukrainiennes ont été compromis par le malware MeshAgent dans le cadre d'une campagne de phishing qui a exploité la confiance dans le Service de sécurité ukrainien (SBU).

L'attaque impliquait des courriers électroniques qui semblaient provenir du SBU, contenant un lien pour télécharger un fichier intitulé « Documents.zip ».

Cependant, en cliquant sur le lien, un fichier Microsoft Software Installer (MSI) a été téléchargé, tel que « Scan_docs#40562153.msi ». L'ouverture de ce fichier MSI a déclenché l'installation d'ANONVNC, également connu sous le nom de malware MeshAgent, permettant potentiellement aux attaquants d'accéder de manière secrète et non autorisée aux systèmes compromis.

Les attaquants ont peut-être exploité un outil open source

Le malware ANONVNC, tel qu'analysé par les chercheurs en sécurité, présente un fichier de configuration qui ressemble beaucoup à celui de l'outil logiciel MeshAgent.

MeshAgent est avant tout un outil de gestion à distance conçu pour fonctionner avec la plateforme open source MeshCentral. Il prend en charge divers systèmes d'exploitation, notamment Windows, Linux, macOS et FreeBSD. Bien que MeshAgent lui-même ne soit pas intrinsèquement malveillant, les cybercriminels l'exploitent pour créer des portes dérobées sur les terminaux compromis, permettant ainsi un accès à distance via des outils tels que VNC, RDP ou SSH.

Récemment, les chercheurs en sécurité ont observé une augmentation de l’utilisation abusive de MeshAgent par les attaquants pour maintenir la persistance sur les systèmes compromis et exécuter des commandes à distance.

Pourquoi les cybercriminels ont-ils détourné l’outil MeshAgent ?

  • Connexion transparente : après l'installation, MeshCentral établit automatiquement des connexions avec les points de terminaison sans nécessiter aucune interaction de l'utilisateur.
  • Accès non autorisé : MeshCentral peut accéder à MeshAgent directement ou via le protocole RDP (Remote Desktop Protocol), contournant ainsi le besoin d'autorisation du point de terminaison.
  • Contrôle du système : il a la capacité de réveiller, de redémarrer ou d'arrêter les points de terminaison à distance.
  • Commande et contrôle : MeshCentral fonctionne comme un serveur de commandes, lui permettant d'exécuter des commandes shell et de transférer des fichiers sur le point de terminaison à l'insu de l'utilisateur.
  • Opérations indétectables : les actions effectuées par MeshCentral fonctionnent sous le compte NT AUTHORITY\SYSTEM, ce qui les aide à se fondre dans les processus d'arrière-plan normaux.
  • Hachages de fichiers uniques : chaque instance de MeshAgent est générée de manière unique, ce qui rend difficile la détection via les hachages de fichiers seuls.
  • Hameçonnage et contournement du pare-feu : les attaquants diffusent fréquemment MeshAgent via des e-mails de phishing. Son utilisation de ports communs comme 80 et 443 pour la communication augmente les chances d'échapper à la détection par les pare-feu.

Les experts mettent en garde contre la possibilité d’une campagne de menaces de plus grande ampleur

Les chercheurs pensent que cette dernière campagne a débuté en juillet 2024 et pourrait s'étendre au-delà des frontières de l'Ukraine. L'analyse du service de stockage de fichiers pCloud a révélé plus d'un millier de fichiers EXE et MSI téléchargés depuis le 1er août, dont certains pourraient être associés à cette campagne plus vaste.

Le 6 août, l'Ukraine a lancé une attaque surprise dans la région de Koursk. Pour la première fois, un haut responsable militaire a confirmé publiquement que les forces de Kiev contrôlaient désormais plus de 1 000 kilomètres carrés de territoire russe.

La récente campagne de phishing, qui a déployé des logiciels malveillants de type backdoor sur les systèmes informatiques du gouvernement, a coïncidé avec cette importante offensive ukrainienne. Cependant, Kiev n'a pas directement attribué ces attaques ciblées à la Russie ou à ses cyberopérations. Au lieu de cela, la campagne a été liée à un acteur malveillant identifié comme UAC-0198.

Les pirates russes ont déjà eu recours à des tactiques similaires, en utilisant des logiciels de surveillance et de gestion à distance (RMM) légitimes pour espionner l'Ukraine et ses alliés. Ils ont dissimulé les scripts malveillants nécessaires au téléchargement et à l'exécution du logiciel RMM dans le code Python légitime du jeu « Démineur » de Microsoft.

Tendance

Le plus regardé

Chargement...