駭客使用掃雷的 Python 克隆來攻擊金融機構
駭客正在使用掃雷的 Python 克隆程式碼來攻擊來自美國和歐洲的金融和保險組織。根據Bleeping Computer報道,電腦安全事件回應小組(CSIRT-NBU)和烏克蘭電腦緊急應變小組(CERT-UA)追蹤了此攻擊,並發現 UAC-0188 負責。
UAC-0188,也稱為 FromRussiaWithLove,是俄羅斯駭客活動分子。攻擊者使用掃雷程式碼隱藏安裝 SuperOps RMM 的 Python 腳本,該工具可協助他們存取受影響的系統。
駭客如何使用掃雷代碼?
不法分子將自己偽裝成醫療中心。他們使用[email protected]電子郵件。此外,郵件的主題是醫療文件的個人網路檔案。
在電子郵件中,收件人可以找到 Dropbox 鏈接,該鏈接指向 33 MB。 SCR 文件,其中包含來自掃雷 Python 克隆的程式碼以及從 anotepad.com 下載其他惡意軟體的惡意程式碼。
掃雷的 Python 克隆充當真正的 28MB Base64 編碼字串的誘餌,其中包含惡意程式碼。此外,程式碼中包含的 create_license_ver 函數會解碼並執行惡意軟體。此程序會向安全系統隱藏惡意程式碼。
當函數完成解碼時,它會顯示 a。包含 SuperOps RMM 的 ZIP 檔案。然後,它使用靜態密碼提取並執行它。
網路安全專家建議,如果您注意到裝置上有 SuperOPS RMM 活動,您應該小心謹慎,尤其是當您的組織不使用它時。另外,檢查對以下網域的呼叫:superops.com 和 superops.ai。此外,使用更新的防毒裝置、備份重要資料並定期變更密碼。
最終,掃雷惡意軟體是一個嚴重的威脅,您不應掉以輕心。 CERT-UA 透露了在美國和歐盟發送的五份類似文件。因此,請務必謹慎,尤其是如果您經營金融組織。
發佈留言