Hackerek Minesweeper klónba rejtik a káros kódot

May 27, 2024 Yanac Pénzügyi szektor, UAC-0188

A hackerek a Microsoft Minesweeper játék Python klónjának kódját használják fel rosszindulatú szkriptek elrejtésére az európai és amerikai pénzügyi szervezeteket célzó támadásokban. Az ukrán CSIRT-NBU és a CERT-UA szerint az “UAC-0188” néven nyomon követett fenyegető szereplő Python szkripteket ágyaz be a legális Minesweeper kódba. Ezek a szkriptek letöltik és telepítik a SuperOps RMM-et, egy törvényes távmenedzsment-szoftvert, és közvetlen hozzáférést biztosítanak a távoli szereplők számára a megtámadott rendszerekhez. A kezdeti felfedezést követő kutatás legalább öt potenciális betörést tárt fel pénzügyi és biztosítási intézményeknél Európában és az Egyesült Államokban.

A támadás a “support@patient-docs-mail.com” e-mail címmel kezdődik, amely egy egészségügyi központnak adja ki magát, és arra ösztönzi a címzetteket, hogy töltsenek le egy 33 MB-os .SCR fájlt egy Dropbox linkről. Ez a fájl ártalmatlan Minesweeper kódot és rosszindulatú Python kódot is tartalmaz, amely további szkripteket tölt le az anotepad.com oldalról. A Minesweeper-kód egy 28 MB-os, base64-kódolt karakterláncot álcáz, amely a rosszindulatú hasznos terhet tartalmazza, és célja a biztonsági szoftverek kijátszása. A karakterlánc egy ZIP-fájlt dekódol, amely a SuperOps RMM MSI telepítőjét tartalmazza, és amely statikus jelszóval hajtódik végre. A CERT-UA azt tanácsolja a SuperOps RMM-et nem használó szervezeteknek, hogy a SuperOps RMM jelenlétét vagy a kapcsolódó hálózati tevékenységet tekintsék hacker általi kompromittálódásra utaló jelnek. A CERT-UA riasztásában további IoC-kat is megosztott.

(forrás)