黑客攻击欧洲和美国金融机构
乌克兰的国家计算机紧急响应小组和乌克兰计算机紧急响应小组共同了一起黑客攻击事件。攻击者利用微软经典扫雷游戏的 Python 克隆代码,针对欧洲和美国金融机构的进行攻击
攻击背景与执行者
本次攻击被追踪到一个代号为 “UAC-0188” 的威胁。黑客组织通过使用合法代码,成功地隐藏并下载安装了 SuperOps RMM 的 Python 脚本。
SuperOps RMM 是一款合法的远程管理软件,但被攻击者用来直接访问被入侵的系统。CERT-UA 的报告指出,自攻击被发现以来,已经有至少五起涉及欧洲和美国金融及保险机构的潜在相同文件的违规行为。
攻击细节
“support@patient-docs-mail.com”,邮件主题为 “个人医疗文档的网络档案”。受害者从提供的 Dropbox 链接下载一个 33MB 的.SCR 文件。
该文件包含了 Python 克隆扫雷游戏代码,隐藏了从远程源下载额外脚本的恶意 Python 代码。代码中包含一个名为 “create_license_ver” 的函数,该函数被重新用于解码和执行隐藏的恶意代码。黑客利用这种方法让安全软件误认为该文件是无害的。
恶意代码通过 base64 编码的字符串隐藏在文件中,该字符串解码后会组装一个包含 SuperOps RMM 的 MSI 安装程序的 ZIP 文件。安装程序最终被提取并使用静态密码执行,授予攻击者对受害者计算机的未授权访问。
安全建议
CERT-UA 建议不使用 SuperOps RMM 产品的组织,将任何与该产品相关的网络活动,如对 “superops.com” 或 “superops.ai” 域的调用,视为黑客入侵的迹象。