複数ライセンス割引見積
脅威データベース マルウェア MeshAgent

MeshAgent

マルウェアMezoまで
翻訳内容:

ウクライナの国家および地方政府のコンピューター 100 台以上が、ウクライナ保安庁 (SBU) への信頼を悪用したフィッシング キャンペーンで MeshAgent マルウェアに侵入されました。

この攻撃には、SBU から送信されたように見える電子メールが関係しており、その中には「Documents.zip」というファイルをダウンロードするためのリンクが含まれていました。

ただし、リンクをクリックすると、代わりに「Scan_docs#40562153.msi」などの Microsoft ソフトウェア インストーラー (MSI) ファイルがダウンロードされました。この MSI ファイルを開くと、MeshAgent マルウェアとしても知られる ANONVNC のインストールが開始され、攻撃者が侵害されたシステムに秘密裏に不正アクセスできるようになる可能性があります。

攻撃者はオープンソースツールを悪用した可能性がある

セキュリティ研究者が分析したところ、ANONVNC マルウェアは MeshAgent ソフトウェア ツールの構成ファイルによく似た構成ファイルを備えています。

MeshAgent は、主にオープンソース プラットフォーム MeshCentral と連携するように設計されたリモート管理ツールです。Windows、Linux、macOS、FreeBSD など、さまざまなオペレーティング システムをサポートしています。MeshAgent 自体は本質的に悪意のあるものではありませんが、サイバー犯罪者はこれを悪用して、侵害されたエンドポイントにバックドアを作成し、VNC、RDP、SSH などのツールを介したリモート アクセスを可能にしています。

最近、セキュリティ研究者は、侵害されたシステム上での持続性を維持し、リモート コマンドを実行するために攻撃者が MeshAgent を悪用するケースが増加していることを確認しています。

サイバー犯罪者が MeshAgent ツールをハイジャックした理由

  • シームレスな接続:インストール後、MeshCentral はユーザーの操作を必要とせずにエンドポイントとの接続を自動的に確立します。
  • 不正アクセス: MeshCentral は、エンドポイントからの許可を必要とせずに、MeshAgent に直接またはリモート デスクトップ プロトコル (RDP) 経由でアクセスできます。
  • システム制御: エンドポイントをリモートで起動、再起動、またはシャットダウンする機能があります。
  • コマンドと制御: MeshCentral はコマンド サーバーとして機能し、ユーザーが気付かないうちにシェル コマンドを実行し、エンドポイントでファイルを転送できます。
  • 検出されない操作: MeshCentral によって実行されるアクションは NT AUTHORITY\SYSTEM アカウントで実行されるため、通常のバックグラウンド プロセスに溶け込みます。
  • 一意のファイル ハッシュ: MeshAgent の各インスタンスは一意に生成されるため、ファイル ハッシュのみで検出することは困難です。
  • フィッシングとファイアウォール回避: 攻撃者はフィッシング メールを介して MeshAgent を配布することがよくあります。通信に 80 や 443 などの一般的なポートを使用すると、ファイアウォールによる検出を回避する可能性が高くなります。

専門家は、より大規模な脅迫キャンペーンの可能性について警告している

研究者たちは、この最新のキャンペーンは2024年7月に始まり、ウクライナ国境を越えて広がる可能性があると考えています。pCloudファイルストレージサービスの分析により、8月1日以降にアップロードされた1,000を超えるEXEファイルとMSIファイルが発見されました。そのうちのいくつかは、このより広範なキャンペーンに関連している可能性があります。

8月6日、ウクライナはクルスク地域で奇襲攻撃を開始した。キエフ軍が現在ロシア領土1,000平方キロメートル(約386平方マイル)以上を支配していることを、上級軍司令官が初めて公に認めた。

政府のコンピュータ システムにバックドア マルウェアを仕掛けた最近のフィッシング キャンペーンは、このウクライナの大規模な攻撃と同時期に発生しました。しかし、キエフはこれらの標的型攻撃をロシアやそのサイバー活動に直接結び付けてはいません。代わりに、このキャンペーンは UAC-0198 として識別される脅威アクターと関連付けられています。

ロシアのハッカーは以前、同様の戦術を使い、合法的なリモート監視・管理(RMM)ソフトウェアを利用してウクライナとその同盟国をスパイしていた。彼らは、RMMソフトウェアをダウンロードして実行するために必要な悪意のあるスクリプトを、マイクロソフトの「マインスイーパ」ゲームの合法的なPythonコード内に隠していた。

トレンド

オーギバー.co.in

不正なウェブサイト, ブラウザハイジャッカー
Auggiver.co.in は、操作的な戦略を利用してユーザーにプッシュ通知を購読するよう圧力をかける詐欺的な Web サイトです。その後、Web サイトは、ユーザーのコンピュータまたはデバイスに一方的な通知を大量に送信する機能を獲得します。 Auggiver.co の背後にある中心的な意図。ブラウザに統合されたプッシュ通知システムを悪用することです。このアプローチは、疑いを持たない個人の...

Cleancaptcha.top

不正なウェブサイト, ブラウザハイジャッカー
Cleancaptcha.topは、手に負えない方法でオペレーターに金銭的利益をもたらすことを目的としています。その点で、同じ目的に捧げられ、同様のクリックベイト戦術を利用している他の無数のページとほとんど区別がつきません。ユーザーがこれらの疑わしいサイトに進んでアクセスすることはめったになく、強制的なリダイレクトの結果としてそこに移動します。 Cleancaptcha.topで発生した主な...

メールボックスのバージョンが廃止される詐欺

フィッシング, スパム
オンライン詐欺師は、ユーザーを騙して貴重なデータを盗むための新たな手口を常に開発しています。その一例が「メールボックスのバージョンは廃止されます」という詐欺です。これは、何も知らない被害者からログイン認証情報を取得することを目的としたフィッシング詐欺です。サイバーセキュリティの専門家は、これらの詐欺メッセージは、正当な企業、組織、またはサービスプロバイダーとは一切関係がないと警告しています。 サービスアラートを装った詐欺メール この詐欺は、信頼できるメールサービスプロバイダーを装った、巧妙に作成されたメールから始まります。メッセージは、受信者に対し、メールボックスのバージョンがまもなく廃...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
53,893
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...

Discord 灰色の画面で立ち往生

問題
40,886
時々、Discordアプリケーションを使用している間、ユーザーは灰色の画面で立ち往生するかもしれません。この問題は、アプリケーションのストリーミング中または単にロード中に発生する可能性があります。これが発生し、それを修正する方法がわからない場合は、次の解決策を試してください。 画面モードの切り替え 原因が視覚的な不具合であり、それ以上深刻なものがない場合は、全画面モードや小画面オプションを有...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
39,560
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...