Хакеры атаковали финорганизации с помощью трояна-клона Minesweeper
Хакеры начали применять код Python-клона игры Minesweeper, чтобы скрыть в нём вредоносные скрипты и проводить атаки на финансовые организации Европы и США.
Атаки приписывают злоумышленнику, отслеживаемому как «UAC-0188». Он использует легальный код, чтобы скрыть скрипты Python, которые загружают и устанавливают SuperOps RMM.
Superops RMM — это программное обеспечение для удалённого управления, которое предоставляет участникам прямой доступ к скомпрометированным системам.
Хакеры начинают с рассылки электронных писем с адреса «[email protected]» и с темой «Личный веб-архив медицинских документов». Они выдают себя за медицинский центр. Получателю предлагают загрузить файл .SCR размером 33 МБ по ссылке Dropbox. Файл содержит код из Python-клона игры, а также вредоносный код Python, который загружает дополнительные скрипты из удалённого источника («anotepad.com»).
Включение кода Minesweeper в исполняемый файл служит прикрытием для строки размером 28 МБ в кодировке Base64, содержащей вредонос. Кроме того, код Minesweeper содержит функцию с именем «create_license_ver», которая переназначается для декодирования и выполнения скрытого вредоносного кода.
Строка base64 декодируется для сборки ZIP-файла, содержащего установщик MSI для SuperOps RMM, который в конечном итоге извлекается и выполняется с использованием статического пароля.
Исследователи безопасности отмечают, что организации, не использующие продукт SuperOps RMM, должны рассматривать его присутствие или связанную с ним сетевую активность, например обращения к доменам «superops.com» или «superops.ai», как признак хакерской атаки.
Ранее Минюст США раскрыл имя и заочно предъявил обвинения предполагаемому администратору программы-вымогателя LockBit — 31-летнему Дмитрию Хорошеву (aka LockBitSupp) из Воронежа. Ему грозит тюремное заключение сроком до 185 лет. Исследователь Брайан Кребс попытался раскрыть способы, с помощью которых ведомства пытались деанонимизировать хакера. Между тем LockBitSupp заявил в интервью, что он не тот человек, о котором заявил Минюст США. Хакер утверждает, что ФБР «сфабриковало дело» против невиновного.
Написать комментарий