Ukrayna Güvenlik Servisi’ne (SBU) olan güveni suistimal eden bir kimlik avı saldırısında, 100’den fazla Ukrayna devlet ve yerel yönetim bilgisayarı MeshAgent adlı kötü amaçlı yazılımla tehlikeye atıldı.
Pazartesi günü Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA) tarafından tespit edilen saldırı, görünüşe göre SBU’dan gelen e-postaları içeriyordu. Bu e-postalar, “Documents.zip” adlı bir dosyayı indirmek için bir bağlantı içeriyordu.
Bağlantıya tıklamak bunun yerine bir Microsoft Yazılım Yükleyici (MSI) dosyasını indirdi. Örneğin: “Scan_docs#40562153.msi“. Bu MSI dosyasını açmak ANONVNC’yi (aynı zamanda MeshAgent kötü amaçlı yazılımı olarak da bilinir) serbest bıraktı. Bu kötü amaçlı yazılım, saldırganlara enfekte olmuş makinelere potansiyel olarak gizli, yetkisiz erişim sağladı, dedi CERT-UA.
“12 Ağustos 2024 saat 12:00 itibarıyla CERT-UA, Ukrayna’nın devlet kurumları ve yerel yönetim organları bünyesinde faaliyet gösterenler de dahil olmak üzere 100’den fazla etkilenen bilgisayarı tespit etti.” – SERTİFİKA-UA
Tanıdık Özelliklere Sahip Kötü Amaçlı Yazılım
CERT-UA araştırmacıları tarafından gözlemlenen kaynak koduna dayanan ANONVNC kötü amaçlı yazılımı, MeshAgent yazılım aracına çarpıcı biçimde benzeyen bir yapılandırma dosyası kullanıyordu.
MeshAgent, genellikle açık kaynaklı platform MeshCentral ile çalışan bir uzaktan yönetim aracıdır. Windows, Linux, macOS ve FreeBSD ile uyumludur. Kötü amaçlı olarak tasarlanmamış olsa da, tehdit aktörleri bu aracı uç noktalarda arka kapılar kurmak için kullanır ve VNC, RDP veya SSH gibi programlar aracılığıyla uzaktan erişime izin verir.
Son zamanlarda Wazuh’taki güvenlik araştırmacıları, saldırganların tehlikeye atılmış sistemlerde kalıcılığı sağlamak ve uzaktan komutlar vermek için MeshAgent’ı kötüye kullanmasında artış olduğunu belirtti.
Tehdit Aktörleri Neden MeshAgent’ı Kötü Amaçlı Yazılım Olarak Kullanır?
- Sorunsuz Bağlantı: MeshCentral kurulduktan sonra uç noktalara bağlanmak için kullanıcı müdahalesine ihtiyaç duymaz.
- Yetkisiz Erişim: MeshCentral, uç noktanın izni olmadan doğrudan veya RDP aracılığıyla MeshAgent’a erişebilir.
- Sistem Kontrolü: Uç noktaları uyandırabilir, yeniden başlatabilir veya kapatabilir.
- Komuta ve Kontrol: MeshCentral, kullanıcının bilgisi olmadan uç noktada kabuk komutlarını yürüten ve dosyaları aktaran bir komut sunucusu gibi davranır.
- Tespit Edilemeyen İşlemler: MeshCentral tarafından başlatılan eylemler, rutin arka plan görevleriyle harmanlanarak NT AUTHORITY\SYSTEM hesabı altında çalışır.
- Benzersiz Dosya Karmaları: Her MeshAgent örneği benzersiz şekilde oluşturulduğundan, dosya karması ile tespit edilmesi zordur.
Saldırganlar genellikle MeshAgent’ı kimlik avı e-postaları aracılığıyla dağıtır. 80 ve 443 gibi standart portlar üzerinden iletişimi, güvenlik duvarlarını aşma olasılığını artırır.
Windows uç noktasında, MeshAgent genellikle şunları yapar:
- MeshCentral arka plan servisini başlatır.
- MeshCentral sunucusuna bağlanır.
- Borular aracılığıyla bir iletişim kanalı kurar.
- Kullanarak yükler
-fullinstallkomuta bayrağı. - Yürütülebilir dosyasını şuraya yerleştirir:
C:\Program Files\Mesh Agent\MeshAgent.exe. - Şurada bir kayıt defteri anahtarı oluşturur:
HKLM\System\CurrentControlSet\Services\Mesh Agentyapılandırma depolaması için. - Başka bir kayıt defteri anahtarı ekler
HKLM\System\CurrentControlSet\Control\SafeBoot\Network\MeshAgentGüvenli Mod sırasında ağ erişimini etkinleştirir. - WebRTC trafiğinin güvenlik duvarından geçmesine izin veren bir kayıt defteri anahtarı oluşturma dahil olmak üzere, kalıcılığı sağlamak için Windows hizmetlerini değiştirir.
- Çoğu eylemi yüksek ayrıcalıklı NT AUTHORITY\SYSTEM ve LocalService hesaplarını kullanarak yürütür.
MeshCentral’a yeniden bağlanırken MeshAgent:
- İletişim kanalını yeniden kurar.
- Şurada bir kayıt defteri anahtarı oluşturur:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MeshUserTaskUyandırma, uyku ve komut yürütme gibi görevlerin zamanlanması için.
MeshCentral izinsiz olarak yeniden bağlanırsa, bağlantı yöneticisi hizmetini “talep üzerine başlat”tan “otomatik başlat”a değiştirir.
MeshAgent’ın kaynak kodu Github’da herkese açık olarak mevcut ve bu da son kampanya için olası kod yeniden kullanımını öneriyor. Bu kod benzerliği nedeniyle, CERT-UA keşfedilen kötü amaçlı yazılıma geçici olarak ANONVNC adını verdi.
Daha Geniş Bir Kampanyadan Şüpheleniliyor
CERT-UA araştırmacılarına göre son kampanyanın Temmuz 2024’te başladığı ve Ukrayna sınırlarının ötesine uzanabileceği düşünülüyor. pCloud dosya depolama hizmetinin analizi, 1 Ağustos’tan bu yana yüklenen binin üzerinde EXE ve MSI dosyasını ortaya çıkardı ve bunların bazıları potansiyel olarak bu daha geniş kampanyayla bağlantılı.
Ukrayna, 6 Ağustos’ta Kursk bölgesinde Rusya’ya sürpriz bir saldırı düzenledi ve bugün ilk kez üst düzey bir askeri komutan, Kiev güçlerinin şu anda 1.000 kilometrekareden (yaklaşık 386 mil kare) fazla Rus toprağını kontrol ettiğini kamuoyuna açıkladı.
“Askerler görevlerini yerine getiriyor. Çatışmalar aslında tüm cephe hattı boyunca devam ediyor. Durum kontrolümüz altında,” dedi General Oleksandr Syrskyi.
Pazartesi günü hükümet bilgisayar sistemlerine arka kapı kötü amaçlı yazılımı yerleştiren kimlik avı kampanyasının zamanlaması bu yoğun Ukrayna saldırısını takip ediyor ancak Kiev bu hedefli saldırılar için Rusya’yı veya Kremlin’in siber ordusunu önceden isimlendirmedi. Bunun yerine kampanyayı UAC-0198 olarak izlediği bir tehdit aktörüne kadar takip etti.
Rus hacker’ların daha önce Ukrayna ve müttefiklerini gözetlemek için meşru uzaktan izleme ve yönetim yazılımlarını kullandıkları benzer taktikler kullandıkları tespit edilmişti. Kurbanların bilgisayarlarına RMM programını indirmek ve çalıştırmak için gereken kötü amaçlı betikler, Microsoft’un “Minesweeper” oyununun meşru Python kodu arasında gizlenmişti.
CERT-UA, son siber tehdidi azaltmak için derhal önlemler uyguladı. Bu önlemlere ilişkin belirli ayrıntılar açıklanmadı.