Совместными усилиями CSIRT-NBU и CERT-UA зафиксирована и проанализирована кибератака, направленная на получение несанкционированного удаленного доступа к ЭВМ украинских организаций с использованием легитимной программы для удаленного управления компьютерами SuperOps RMM.
Так, жертве направляется электронное письмо со ссылкой на Dropbox, из которого будет загружен исполняемый файл (.SCR) размером около 33МБ. Упомянутый файл создан с помощью PyInstaller и содержит, среди прочего, легитимный программный Python-код игры «Сапер» («Minesweeper»), а также base64-кодированную строку размером 28МБ. При этом, остальная часть программного кода осуществляет загрузку (с сервиса anotepad.com), декодирование (base64) и выполнение Python-кода. Прерогативой загруженного Python-кода является вызов функции «create_license_ver» из «Сапера», аргументом которой является комбинация base64-кодированной строки из загруженного скрипта и 28МБ-тной base64-строки, которая содержалась в исходном SCR-файле.
В дальнейшем, в результате конкатенации и декодирования строки, будет получен ZIP-архив, из которого, с использованием статически заданного пароля, будет добыт и выполнен MSI-файл, представляющий собой легитимную программу SuperOps RMM. Запуск этой программы на ЭВМ предоставит третьим лицам несанкционированный удаленный доступ к компьютеру.
CERT-UA проведено дополнительное исследование выявленных тактик, техник и процедур, и, в частности, с использованием особенностей SCR-файла, дополнительно идентифицировано пять аналогичных файлов, имена которых содержали названия финансовых и страховых учреждений Европы и США. Целесообразно предположить, что подобные кибератаки осуществляются не позднее чем с февраля-марта 2024 года и имеют довольно широкую географию.
Indicators of Compromise
Domains
- patient-docs-mail.com
- yemmyusa.com
URLs
- https://anotepad.com/notes/2d94hf6q
- https://anotepad.com/notes/2st44b98
- https://anotepad.com/notes/4qrjbatw
- https://anotepad.com/notes/cwknw3qs
- https://anotepad.com/notes/k55a4dq3
- https://anotepad.com/notes/txb53br5
- https://www.dropbox.com/scl/fi/s6il9o10zmecnrurvw3m8/document_chasestatement0003241353491.scr?rlkey=i3gjtul68q9zeeuyw0esi1vm0&dl=1
- https://www.dropbox.com/scl/fi/w864v8x6a53zuaphg01t3/chaseonlinestatement032445381.scr?rlkey=ez6lq3jwgu9trx1meprytyhac&dl=1
Emails
MD5
- 0d2968cf9bb938bad91d59bec617ef28
- 1c5d4add00c4170283d4d4f338ac8871
- 3c74cf1cc59462e98cfec647d42c5dca
- 65f9c3b459cdd5db1a8cad007ca12155
- 70d376d638868eefb81ffdc480744bf1
- 7c18d18c4f933e4aa056e86e900adf5e
- 8181331b4ae052d895aa91e06b938dc3
- 8cb4012458d390b9a2866278473c696b
- 8eb0fdc88fb9820108636d21dbdc7b4d
- a027d7045c669e365d0ef01768223329
- a3a28d0e8b567a2f485d7e3dce2e8fd4
- a46317e7c238be03b317840d7c0e3636
- a5c49a5691a0a30f76d2d140fdc377af
- a6205a0cf9bec9aa4753939dbe41ec0b
- c2784067546e9a9865397bfd868cf71d
- d2caf4d50fdf083cda1a5f781e4f1bdf
- f6a1ed6f81498ee3bdb3842c3f93ddea
SHA256
- 08d39909da1a5b36350493982cf05771445b7f63f11007642fd450cee07b7cde
- 10a6c318be4f1a2f56eedd855e7e5fd4a883a17022b933cd58fa73c184363019
- 1cb846e9cf851247ea3955f7c3a310bd87209eff37a031c0c072f1f05bd5c38b
- 2ad14276e4678c1f9d63bcfaa0658228e95cc92e16c78f46fa8f767cb7d5ab3d
- 30e5f5b2ec76b99e3ac5fbbb8e484047cefe7a04b39f8e31b60c6b1e86f349e4
- 46337cb1cc51378858d5e47713b450c063f994c7909fcb010053a70cb9a592fe
- 4a3192769a62c5491838720bf66ea445a5d21668e5dc5a9943548d744ecc9113
- 57162522bdf6cab0c596672a0e21ecdbdbf9c967b77848f9a25f3e5be3291be1
- 5a223bf043e552e85f8fe91693221c34aafdfd2b3867e733f756f288a38410a1
- 690ce2375759e1c31998011265d31c063615413495cf3596beffe3c11dbaaf06
- 8519569df6b704ff4c1070929395b40933dee93604d087072edbaa3a107491d5
- 987751d2052b4e04e619b431239f286a789a647c0b99cc702d402110bdcdf8a5
- 9ff032282abcc4f82dbb71052033f7a5bfbc334dad0e6ddb65fecb8de30a1865
- d60bc54742e1e4f49b2ae74080ef293150f38d7e6e624008ef53a7a8dc30d42a
- dee0e820c2582badd477ccfbe197d6a5803b86b0c1b25503449d9691b6f6166a
- dfcd0510f07ca6c2979c4953f6e88447fda360b6a4ff995fd1bb3dc9e0aa9edb
- f91a54d4e13e94c0e1b74b1b074a222ce50e258fc63dbbb9f2e651c9485771be
