Hakerzy wykorzystują Pythonowy klon Sapera do atakowania instytucji finansowych

Hakerzy wykorzystują kod z Pythonowego klona Minesweeper do atakowania organizacji finansowych i ubezpieczeniowych ze Stanów Zjednoczonych i Europy. Według Bleeping Computer , zespół reagowania na incydenty bezpieczeństwa komputerowego (CSIRT-NBU) i ukraiński zespół reagowania na incydenty komputerowe ( CERT-UA ) wyśledziły atak i uznały za odpowiedzialny UAC-0188.

UAC-0188, znany również jako FromRussiaWithLove, to rosyjski haktywista. Osoby atakujące wykorzystują kod Sapera do ukrywania skryptów w języku Python instalujących narzędzie SuperOps RMM, które pomaga im uzyskać dostęp do systemów, których dotyczy luka.

Jak hakerzy wykorzystują kod Saper?

Przestępcy podają się za ośrodek medyczny. Używają adresu e-mail [chronionego e-mailem] . Dodatkowo tematem maila jest Osobiste Internetowe Archiwum Dokumentacji Medycznej.

W wiadomości e-mail odbiorcy mogą znaleźć łącze Dropbox, które prowadzi do pliku o rozmiarze 33 MB. Plik SCR zawierający kod z klona Pythona Minesweeper oraz złośliwy plik, który pobiera dodatkowe złośliwe oprogramowanie z anotepad.com.

Klon programu Minesweeper w języku Python służy jako przynęta dla rzeczywistego ciągu znaków o rozmiarze 28 MB zakodowanego w formacie base64, który zawiera złośliwy kod. Ponadto funkcja create_license_ver zawarta w kodzie dekoduje i uruchamia złośliwe oprogramowanie. Proces ten ukrywa złośliwy kod przed systemami bezpieczeństwa.

Kiedy funkcja zakończy dekodowanie, ujawnia a. Plik ZIP zawierający RMM SuperOps. Następnie wyodrębnia go i wykonuje przy użyciu hasła statycznego.

Specjaliści ds. cyberbezpieczeństwa zalecają, aby w przypadku zauważenia aktywności SuperOPS RMM na swoim urządzeniu zachować ostrożność, zwłaszcza jeśli Twoja organizacja z niego nie korzysta. Sprawdź także połączenia z następującymi domenami: superops.com i superops.ai. Ponadto korzystaj ze zaktualizowanego urządzenia antywirusowego, twórz kopie zapasowe ważnych danych i regularnie zmieniaj hasła.

Ostatecznie złośliwe oprogramowanie Minesweeper stanowi poważne zagrożenie, którego nie należy lekceważyć. CERT-UA ujawniło pięć podobnych plików przesłanych w USA i UE. Zachowaj więc ostrożność, zwłaszcza jeśli prowadzisz organizację finansową.