| +11 голос |
|
Спільними зусиллями CSIRT-NBU та CERT-UA зафіксували та проаналізували кібератаку, спрямовану на отримання несанкціонованого віддаленого доступу до ЕОМ українських організацій з використанням легітимної програми для віддаленого управління комп'ютерами SuperOps RMM.
Так, жертві надсилається електронний лист із посиланням на Dropbox, з якого потім завантажується виконуваний файл (.SCR) розміром близько 33МБ. Останній створений за допомогою PyInstaller та містить, серед іншого, легітимний програмний Python-код гри «Сапер» («Minesweeper»), а також base64-кодований рядок розміром 28МБ. При цьому, інша частина програмного коду здійснює завантаження (з сервісу anotepad.com), декодування (base64) та виконання Python-коду. Прерогативою завантаженого Python-коду є виклик функції «create_license_ver» з «Саперу», аргументом якої є комбінація base64-кодованого рядка із завантаженого скрипта та 28МБ-тного base64-рядка, який містився в початковому SCR-файлі.
Надалі, в результаті конкатенації та декодування рядка, отримується ZIP-архів, з якого, з використанням статично заданого пароля, витягується та виконується MSI-файл, що являє собою легітимну програму SuperOps RMM. Запуск цієї програми на ЕОМ надає третім особам несанкціонований віддалений доступ до комп'ютера.
CERT-UA провела додаткове дослідження виявлених тактик, технік та процедур, та, зокрема, з використанням особливостей SCR-файлу, додатково ідентифіковано п'ять аналогічних файлів, імена яких містили назви фінансових та страхових установ Європи й США. Доцільно припустити, що подібні кібератаки здійснюються не пізніше ніж з лютого-березня та мають доволі широку географію.
Організаціям, які не використовують санкціоновано продукт SuperOps RMM, рекомендується впевнитись у відсутності мережевої активності, що пов'язана з доменними іменами: *.superops.com, *.superops.ai.
Стратегія охолодження ЦОД для епохи AI
| +11 голос |
|
