![](http://expert.com.ua/wp-content/uploads/2025/01/giganet_banner-900x90-2.png")
Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA, що діє при Держспецзв’язку, попереджає про діяльність кіберзловмисників, які використовують легітимну програму для віддаленого управління комп’ютерами SuperOps RMM з метою отримання несанкціонованого доступу до інформаційних систем українських організацій.
Як відбувається атака
Спільними зусиллями Центру кіберзахисту Національного банку України та CERT-UA було зафіксовано та проаналізовано кібератаки, в ході яких жертвам надсилалися електронні листи з посиланням на Dropbox, де містився виконуваний файл (.SCR) розміром близько 33 МБ.
Згаданий файл створений за допомогою PyInstaller та містить, серед іншого, легітимний програмний Python-код гри “Сапер” (“Minesweeper”), а також base64-кодований рядок розміром 28МБ.
При цьому, інша частина програмного коду здійснює завантаження (з сервісу anotepad.com), декодування (base64) та виконання Python-коду. Прерогативою завантаженого Python-коду є виклик функції “create_license_ver” з “Саперу”, аргументом якої є комбінація base64-кодованого рядка із завантаженого скрипта та 28МБ-тного base64-рядка, який містився в початковому SCR-файлі.
Надалі, в результаті конкатенації та декодування рядка, буде отримано ZIP-архів, з якого, з використанням статично заданого паролю, буде видобуто та виконано MSI-файл, що являє собою легітимну програму SuperOps RMM. Запуск цієї програми на ЕОМ надасть третім особам несанкціонований віддалений доступ до комп’ютера.
CERT-UA провела додаткове дослідження та виявила п’ять аналогічних файлів, імена яких містили назви фінансових і страхових установ Європи і США. Це свідчить про те, що подібні кібератаки здійснюються з лютого – березня 2024 року та мають доволі широку географію. Описаний кластер кіберзагроз відстежується за ідентифікатором UAC-0188.
Рекомендації CERT-UA
- Організаціям, які не використовують продукт SuperOps RMM, рекомендується впевнитися у відсутності мережевої активності, що пов’язана з доменними іменами: .superops.com, .superops.ai.
- Вживайте заходів щодо підвищення кібергігієни співробітників.
- Використовуйте та постійно оновлюйте антивірусне програмне забезпечення.
- Регулярно оновлюйте операційні системи та програмне забезпечення.
- Використовуйте надійні паролі та регулярно їх змінюйте.
- Створюйте резервні копії важливих даних.
