ProIT: медіа для профі в IT
Приблизно хвилину

Хакери зламують українські організації за допомогою троянського Python-клону гри «Сапер»

author avatar ProIT NEWS

Спільними зусиллями CSIRT-NBU та CERT-UA зафіксовано і проаналізовано кібератаку, спрямовану на отримання несанкціонованого віддаленого доступу до ЕОМ українських організацій з використанням легітимної програми для віддаленого управління комп’ютерами SuperOps RMM. Про це повідомляє CERT-UA.

Так, жертві надсилається електронний лист з посиланням на Dropbox, із якого буде завантажено виконуваний файл (.SCR) розміром близько 33 МБ.

Згаданий файл створений за допомогою PyInstaller. Серед іншого він містить легітимний програмний Python-код відомої гри Microsoft «Сапер» (Minesweeper), а також base64-кодований рядок розміром 28 МБ.

При цьому інша частина програмного коду здійснює завантаження (із сервісу anotepad.com), декодування (base64) та виконання Python-коду.

Прерогативою завантаженого Python-коду є виклик функції «create_license_ver» із «Саперу». Її аргументом є комбінація base64-кодованого рядка із завантаженого скрипта і 28МБ-тного base64-рядка, що містився у початковому SCR-файлі.

Надалі в результаті конкатенації та декодування рядка буде отримано ZIP-архів, із якого з використанням статично заданого пароля буде видобуто та виконано MSI-файл, що являє собою легітимну програму SuperOps RMM. Запуск цієї програми на ЕОМ надасть третім особам несанкціонований віддалений доступ до комп’ютера.

CERT-UA повідомляє, що дослідження, проведені після першого виявлення цієї атаки, виявили щонайменше 5 потенційних порушень через ті самі файли у фінансових і страхових установах по всій Європі та Сполучених Штатах.

Доцільно припустити, що подібні кібератаки здійснюються не пізніше ніж із лютого-березня 2024 року та мають доволі широку географію.

Організаціям, які не використовують санкціоновано продукт SuperOps RMM, рекомендується впевнитись у відсутності мережевої активності, що пов’язана з доменними іменами: *.superops.com, *.superops.ai.

Зверніть увагу, що описаний кластер кіберзагроз відстежується за ідентифікатором UAC-0188.

Читайте також на ProIT: Російські хакери почали частіше атакувати телефони українських військових – звіт CERT-UA.

Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!

Приєднатися до company logo
Продовжуючи, ти погоджуєшся з умовами Публічної оферти та Політикою конфіденційності.