Спільними зусиллями CSIRT-NBU та CERT-UA зафіксовано і проаналізовано кібератаку, спрямовану на отримання несанкціонованого віддаленого доступу до ЕОМ українських організацій з використанням легітимної програми для віддаленого управління комп’ютерами SuperOps RMM. Про це повідомляє CERT-UA.
Так, жертві надсилається електронний лист з посиланням на Dropbox, із якого буде завантажено виконуваний файл (.SCR) розміром близько 33 МБ.
Згаданий файл створений за допомогою PyInstaller. Серед іншого він містить легітимний програмний Python-код відомої гри Microsoft «Сапер» (Minesweeper), а також base64-кодований рядок розміром 28 МБ.
При цьому інша частина програмного коду здійснює завантаження (із сервісу anotepad.com), декодування (base64) та виконання Python-коду.
Прерогативою завантаженого Python-коду є виклик функції «create_license_ver» із «Саперу». Її аргументом є комбінація base64-кодованого рядка із завантаженого скрипта і 28МБ-тного base64-рядка, що містився у початковому SCR-файлі.
Надалі в результаті конкатенації та декодування рядка буде отримано ZIP-архів, із якого з використанням статично заданого пароля буде видобуто та виконано MSI-файл, що являє собою легітимну програму SuperOps RMM. Запуск цієї програми на ЕОМ надасть третім особам несанкціонований віддалений доступ до комп’ютера.
CERT-UA повідомляє, що дослідження, проведені після першого виявлення цієї атаки, виявили щонайменше 5 потенційних порушень через ті самі файли у фінансових і страхових установах по всій Європі та Сполучених Штатах.
Доцільно припустити, що подібні кібератаки здійснюються не пізніше ніж із лютого-березня 2024 року та мають доволі широку географію.
Організаціям, які не використовують санкціоновано продукт SuperOps RMM, рекомендується впевнитись у відсутності мережевої активності, що пов’язана з доменними іменами: *.superops.com, *.superops.ai.
Зверніть увагу, що описаний кластер кіберзагроз відстежується за ідентифікатором UAC-0188.
Читайте також на ProIT: Російські хакери почали частіше атакувати телефони українських військових – звіт CERT-UA.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
