发现俄罗斯黑客使用合法的远程监控和管理软件来监视乌克兰及其盟友。
在受害者计算机上下载并运行 RMM 程序所需的恶意脚本隐藏在微软“扫雷”游戏的合法 Python 代码中。
乌克兰国家特别通信局下属的政府计算机应急反应小组 (CERT-UA)警告称,俄罗斯网络犯罪分子正在使用合法的 SuperOps RMM 软件程序未经授权访问乌克兰组织的信息系统,尤其是金融领域的信息系统。
乌克兰国家银行网络安全中心 ( CSIRT-NBU ) 和 CERT-UA 记录并分析了发送给受害者的钓鱼电子邮件,这些钓鱼电子邮件带有 Dropbox 链接,其中包含一个约 33 MB 的可执行文件 (.SCR)。这些电子邮件是从“ support@patient-docs-mail.com ”地址发送的,该地址冒充一家医疗中心,主题为“医疗文档个人网络档案”。
.SCR 文件包含扫雷游戏的 Python 克隆版本以及从远程源“anotepad.com”下载其他脚本的恶意 Python 代码。扫雷代码包含一个名为“create_license_ver”的函数,该函数被重新用于解码和执行隐藏的恶意代码。
合法的 SuperOps RMM 程序最终从 ZIP 文件下载并安装,从而授予攻击者对受害者计算机的远程访问权限。
CERT-UA发现了五个类似的文件,以欧洲和美国的金融和保险机构命名,表明这些网络攻击发生在 2024 年 2 月至 3 月之间,地理范围广泛。CERT-UA 将此威胁活动追踪到其识别为 UAC-0188 的行为者。
UAC-0118,也称为 FRwL 或 FromRussiaWithLove,是一个与俄罗斯国家结盟的黑客威胁行为者组织,于 2022 年俄罗斯-乌克兰战争期间出现。他们主要针对关键基础设施、媒体、能源和政府实体。
FRwL 之前曾被指使用 Vidar 窃取程序和 Somnia 勒索软件,他们使用这些软件来清除数据,而不是为了获取经济利益。虽然没有直接证据表明 FRwL 与俄罗斯中央情报局有关联,但他们有可能与与国家结盟的黑客组织协调活动。
针对正在进行的远程监控活动的可能防御措施
CERT-UA 建议如下:
- 未使用 SuperOps RMM 的组织应验证与域名相关的网络活动是否存在:[.]superops[.]com、[.]superops[.]ai。
- 改善员工的网络卫生。
- 使用并不断更新防病毒软件。
- 定期更新操作系统和软件。
- 使用强密码并定期更改。
- 备份重要数据。
乌克兰金融机构也受到 Smokeloader 的关注
以经济为目的的 UAC-0006 组织在 2023 年之前积极发起针对乌克兰的网络钓鱼攻击。CERT-UA报告称,UAC-0006 于 2024 年春季再次出现,黑客试图传播该组织工具包中常见的恶意软件 Smokeloader。该威胁组织的主要目标是窃取凭证并执行未经授权的资金转移,对金融系统构成重大风险。
SmokeLoader 是一款恶意机器人应用程序和木马,可以逃避安全措施来感染 Windows 设备。然后它可以安装其他恶意软件、窃取敏感数据并损坏文件等。
2023 年,UAC-0006 针对乌克兰进行了多次网络钓鱼活动,利用金融诱饵并使用 ZIP 和 RAR 附件分发 Smokeloader
CERT-UA 上周再次发出警告,称 UAC-0006 活动大幅增加。黑客至少进行了两次分发 Smokeloader 的活动,显示出与以前的攻击类似的模式。最新的行动涉及带有 ZIP 存档的电子邮件,其中包含包含可执行文件的图像和带有宏的 Microsoft Access 文件,这些宏可执行 PowerShell 命令以下载和运行其他可执行文件。
初次访问后,攻击者会下载其他恶意软件,包括 TALESHOT 和 RMS。僵尸网络目前由数百台受感染的计算机组成。
CERT-UA 预计涉及远程银行系统的欺诈操作将会增加,因此强烈建议加强会计师自动化工作站的安全性,并确保实施必要的政策和保护机制,以降低感染风险。
发表评论
您还未登录,请先登录。
登录