駭客使用掃雷的 Python 克隆來攻擊金融機構

駭客正在使用掃雷的 Python 克隆程式碼來攻擊來自美國和歐洲的金融和保險組織。根據Bleeping Computer報道，電腦安全事件回應小組（CSIRT-NBU）和烏克蘭電腦緊急應變小組（CERT-UA）追蹤了此攻擊，並發現 UAC-0188 負責。

UAC-0188，也稱為 FromRussiaWithLove，是俄羅斯駭客活動分子。攻擊者使用掃雷程式碼隱藏安裝 SuperOps RMM 的 Python 腳本，該工具可協助他們存取受影響的系統。

駭客如何使用掃雷代碼？

不法分子將自己偽裝成醫療中心。他們使用[email protected]電子郵件。此外，郵件的主題是醫療文件的個人網路檔案。

在電子郵件中，收件人可以找到 Dropbox 鏈接，該鏈接指向 33 MB。 SCR 文件，其中包含來自掃雷 Python 克隆的程式碼以及從 anotepad.com 下載其他惡意軟體的惡意程式碼。

掃雷的 Python 克隆充當真正的 28MB Base64 編碼字串的誘餌，其中包含惡意程式碼。此外，程式碼中包含的 create_license_ver 函數會解碼並執行惡意軟體。此程序會向安全系統隱藏惡意程式碼。

當函數完成解碼時，它會顯示 a。包含 SuperOps RMM 的 ZIP 檔案。然後，它使用靜態密碼提取並執行它。

網路安全專家建議，如果您注意到裝置上有 SuperOPS RMM 活動，您應該小心謹慎，尤其是當您的組織不使用它時。另外，檢查對以下網域的呼叫：superops.com 和 superops.ai。此外，使用更新的防毒裝置、備份重要資料並定期變更密碼。

最終，掃雷惡意軟體是一個嚴重的威脅，您不應掉以輕心。 CERT-UA 透露了在美國和歐盟發送的五份類似文件。因此，請務必謹慎，尤其是如果您經營金融組織。