해커들은 금융 기관을 표적으로 삼기 위해 지뢰찾기의 Python 클론을 사용합니다.

해커들은 지뢰 찾기의 Python 복제 코드를 사용하여 미국과 유럽의 금융 및 보험 조직을 공격하고 있습니다. Bleeping Computer 에 따르면 컴퓨터 보안 사고 대응 팀(CSIRT-NBU)과 우크라이나 컴퓨터 긴급 대응 팀( CERT-UA )이 공격을 추적하여 UAC-0188의 소행임을 확인했습니다.

FromRussiaWithLove라고도 알려진 UAC-0188은 러시아 핵티비스트입니다. 공격자는 지뢰 찾기 코드를 사용하여 영향을 받는 시스템에 액세스하는 데 도움이 되는 도구인 SuperOps RMM을 설치하는 Python 스크립트를 숨깁니다.

해커는 지뢰 찾기 코드를 어떻게 사용합니까?

범죄자들은 ​​의료기관으로 위장합니다. 그들은 [이메일 보호] 이메일을 사용합니다. 또한, 메일의 제목은 의료문서 개인 웹 아카이브입니다.

이메일에서 수신자는 33MB로 연결되는 Dropbox 링크를 찾을 수 있습니다. Minesweeper의 Python 클론 코드와 anotepad.com에서 추가 악성 코드를 다운로드하는 악성 코드가 포함된 SCR 파일입니다.

Minesweeper의 Python 클론은 악성 코드가 포함된 실제 28MB base64 인코딩 문자열에 대한 미끼 역할을 합니다. 또한 코드에 포함된 create_license_ver 함수는 악성코드를 디코딩하여 실행합니다. 이 프로세스는 보안 시스템에서 악성 코드를 숨깁니다.

함수가 디코딩을 마치면 다음이 표시됩니다. SuperOps RMM이 포함된 ZIP 파일입니다. 그런 다음 정적 비밀번호를 사용하여 추출하고 실행합니다.

사이버 보안 전문가는 장치에서 SuperOPS RMM 활동을 발견한 경우 특히 조직에서 이를 사용하지 않는 경우 주의해야 한다고 권장합니다. 또한 superops.com 및 superops.ai 도메인에 대한 호출을 확인하세요. 또한 업데이트된 바이러스 백신 장치를 사용하고, 중요한 데이터를 백업하고, 비밀번호를 정기적으로 변경하세요.

궁극적으로 지뢰 찾기 악성 코드는 가볍게 다루어서는 안 되는 심각한 위협입니다. CERT-UA는 미국과 EU에서 전송된 5개의 유사한 파일을 공개했습니다. 그러므로 특히 금융 기관을 운영하는 경우에는 주의하십시오.