CERT-UA предупреждает о кибератаках через программу удаленного доступа

Государственная служба реагирования на компьютерные чрезвычайные ситуации Украины CERT-UA, которая действует при Государственной службе специальной связи, предупреждает о деятельности киберпреступников, которые используют легитимную программу для удаленного управления компьютерами SuperOps RMM с целью получения несанкционированного доступа к информационным системам украинских организаций.

Как работает атака

Совместными усилиями Центра киберзащиты Национального банка Украины и CERT-UA были обнаружены и проанализированы кибератаки, в результате которых жертвам отправлялись электронные письма со ссылкой на Dropbox, содержащие исполняемый файл (.SCR) размером около 33 МБ.

Файл был создан с помощью PyInstaller и содержит, среди прочего, законный код Python игры «Сапер» и строку размером 64 МБ в кодировке Base28.

При этом остальной программный код загружается (с сервиса anotepad.com), декодируется (base64) и выполняет код Python. Прерогативой загруженного кода Python является вызов функции «create_license_ver» из Sapper, аргументом которой является комбинация строки в кодировке base64 из загруженного скрипта и строки base28 размером 64 МБ, содержащейся в исходном файле SCR.

В дальнейшем в результате конкатенации и декодирования строк будет получен ZIP-архив, из которого с помощью статически заданного пароля будет извлечен и выполнен MSI-файл, представляющий легитимную программу SuperOps RMM. Запуск этой программы на компьютере предоставит третьим лицам несанкционированный удаленный доступ к компьютеру.

CERT-UA провел дополнительное исследование и обнаружил пять похожих файлов с названиями финансовых и страховых учреждений Европы и США. Это свидетельствует о том, что подобные кибератаки осуществляются с февраля – марта 2024