CERT-UA попереджає про кібератаки через програму віддаленого доступу

0
3 677 views
CERT-UA попереджає про кібератаки через програму віддаленого доступу

Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA, що діє при Держспецзв’язку, попереджає про діяльність кіберзловмисників, які використовують легітимну програму для віддаленого управління комп’ютерами SuperOps RMM з метою отримання несанкціонованого доступу до інформаційних систем українських організацій.

Як відбувається атака

Спільними зусиллями Центру кіберзахисту Національного банку України та CERT-UA було зафіксовано та проаналізовано кібератаки, в ході яких жертвам надсилалися електронні листи з посиланням на Dropbox, де містився виконуваний файл (.SCR) розміром близько 33 МБ.

Згаданий файл створений за допомогою PyInstaller та містить, серед іншого, легітимний програмний Python-код гри “Сапер” (“Minesweeper”), а також base64-кодований рядок розміром 28МБ.

При цьому, інша частина програмного коду здійснює завантаження (з сервісу anotepad.com), декодування (base64) та виконання Python-коду. Прерогативою завантаженого Python-коду є виклик функції “create_license_ver” з “Саперу”, аргументом якої є комбінація base64-кодованого рядка із завантаженого скрипта та 28МБ-тного base64-рядка, який містився в початковому SCR-файлі.

Надалі, в результаті конкатенації та декодування рядка, буде отримано ZIP-архів, з якого, з використанням статично заданого паролю, буде видобуто та виконано MSI-файл, що являє собою легітимну програму SuperOps RMM. Запуск цієї програми на ЕОМ надасть третім особам несанкціонований віддалений доступ до комп’ютера.

CERT-UA провела додаткове дослідження та виявила п’ять аналогічних файлів, імена яких містили назви фінансових і страхових установ Європи і США. Це свідчить про те, що подібні кібератаки здійснюються з лютого – березня 2024 року та мають доволі широку географію. Описаний кластер кіберзагроз відстежується за ідентифікатором UAC-0188.

Як відбувається атака

Рекомендації CERT-UA

  • Організаціям, які не використовують продукт SuperOps RMM, рекомендується впевнитися у відсутності мережевої активності, що пов’язана з доменними іменами: .superops.com, .superops.ai.
  • Вживайте заходів щодо підвищення кібергігієни співробітників.
  • Використовуйте та постійно оновлюйте антивірусне програмне забезпечення.
  • Регулярно оновлюйте операційні системи та програмне забезпечення.
  • Використовуйте надійні паролі та регулярно їх змінюйте.
  • Створюйте резервні копії важливих даних.