Bilgisayar korsanları, Avrupa ve ABD finansal organizasyonlarına yönelik saldırılarda kötü niyetli komut dosyalarını gizlemek için Microsoft'un saygıdeğer mayın tarımı oyununun bir Python klonundan kod kullanıyor.
Ukrayna'nın CSIRT-NBU ve CERT-UA, Superops RMM'yi indirip yükleyen Python komut dosyalarını gizlemek için meşru kodu kullanan 'UAC-0188' olarak izlenen bir tehdit aktörüne saldırıları ilişkilendiriyor.
SuperOps RMM, uzak aktörlere tehlikeye atılan sistemlere doğrudan erişim sağlayan meşru bir uzaktan yönetim yazılımıdır.
CERT-UA, bu saldırının ilk keşfinin ardından yapılan araştırmaların, Avrupa ve Amerika Birleşik Devletleri'ndeki finans ve sigorta kurumlarında aynı dosyalar tarafından en az beş potansiyel ihlal ortaya çıkardığını bildirdi.
Saldırı, "tıbbi belgelerin kişisel web arşivi" konusuyla bir tıp merkezini taklit eden "support@patient-docs-mail.com" adresinden gönderilen bir e-posta ile başlar.
Alıcının sağlanan Dropbox bağlantısından 33MB .SCR dosyası indirmesi istenir. Bu dosya, bir uzak Kaynaktan ("anotepad.com") ek komut dosyaları indiren kötü amaçlı python kodu ile birlikte mayın tarağı oyununun bir python klonundan zararsız kod içerir.
Minesweeper kodunun, yürütülebilir dosyaya dahil edilmesi, kötü amaçlı kodu içeren 28MB Base64 kodlu dize için bir kapak görevi görür ve güvenlik yazılımına iyi huylu görünmeye çalışır.
Ek olarak, mayın tarama kodu, gizli kötü amaçlı kodun kodunu çözmek ve yürütmek için yeniden tasarlanmış "create_license_ver" adlı bir işlev içerir, bu nedenle meşru yazılım bileşenleri siber saldırıyı maskelemek ve kolaylaştırmak için kullanılır.
Base64 dizesi, SuperOps RMM için bir MSI yükleyicisi içeren bir ZIP dosyası oluşturmak için kod çözülür, bu da sonunda statik bir şifre kullanılarak çıkarılır ve yürütülür.
Superops RMM meşru bir uzaktan erişim aracıdır, ancak bu durumda saldırganlara kurbanın bilgisayarına yetkisiz erişim sağlamak için kullanılır.
CERT-UA, SuperOps RMM ürününü kullanmayan kuruluşların, "Superops.com" veya "Superops.ai" alanlarına yapılan çağrılar gibi varlığını veya ilgili ağ etkinliğini hacker uzlaşmasının bir işareti olarak ele almaları gerektiğini belirtiyor.
Ajans ayrıca raporun altındaki bu saldırı ile ilişkili ek uzlaşma (IOCS) göstergelerini de paylaştı.
Sahte İş Görüşmeleri Yeni Python Backdoor ile Geliştiricileri Hedef
Firebird faresi yaratıcısı ve satıcı ABD ve Avustralya'da tutuklandı
Yeni Brokewell kötü amaçlı yazılım Android cihazları devralır, verileri çalar
Rus Sandworm Hacker'ları Ukrayna'da 20 kritik kuruluşu hedef aldı
Visa, finansal kuruluşları hedefleyen yeni JSoutProx kötü amaçlı yazılım varyantını uyarıyor
Kaynak: Bleeping Computer