ハッカーはマインスイーパのPythonクローンを使って金融機関を狙う

ハッカーは、Minesweeper の Python クローンのコードを使用して、米国とヨーロッパの金融機関や保険組織を攻撃しています。Bleeping Computerによると、Computer Security Incident Response Team (CSIRT-NBU) と Computer Emergency Response Team of Ukraine ( CERT-UA ) がこの攻撃を追跡し、UAC-0188 が原因であると判明しました。

UAC-0188 は、別名 FromRussiaWithLove とも呼ばれるロシアのハクティビストです。攻撃者は、マインスイーパー コードを使用して、影響を受けるシステムへのアクセスに役立つツールである SuperOps RMM をインストールする Python スクリプトを隠します。

ハッカーはマインスイーパーのコードをどのように使用するのでしょうか?

犯人は医療センターを装い、[email protected]というメール アドレスを使用します。また、メールの件名は「医療文書の個人 Web アーカイブ」です。

メールには Dropbox リンクが含まれており、そこから 33 MB の SCR ファイルがダウンロードされます。この SCR ファイルには、Minesweeper の Python クローンのコードと、anotepad.com から追加のマルウェアをダウンロードする悪意のあるコードが含まれています。

Minesweeper の Python クローンは、悪意のあるコードを含む実際の 28 MB の base64 エンコード文字列のおとりとして機能します。また、コードに含まれる create_license_ver 関数は、マルウェアをデコードして実行します。このプロセスにより、悪意のあるコードがセキュリティ システムから隠されます。

関数がデコードを完了すると、SuperOps RMM を含む .ZIP ファイルが表示されます。次に、静的パスワードを使用してそれを抽出し、実行します。

サイバーセキュリティの専門家は、デバイス上で SuperOPS RMM のアクティビティに気付いた場合、特に組織で使用していない場合は注意が必要であると推奨しています。また、superops.com および superops.ai のドメインへの呼び出しも確認してください。さらに、最新のウイルス対策デバイスを使用し、重要なデータをバックアップし、パスワードを定期的に変更してください。

結局のところ、マインスイーパー マルウェアは軽視すべきではない深刻な脅威です。CERT-UA は、米国と EU で同様のファイルが 5 つ送信されたことを明らかにしました。したがって、特に金融機関を運営している場合は注意が必要です。