Les pirates informatiques utilisent le code d’un clone Python du vénérable jeu de démineur de Microsoft pour masquer des scripts malveillants dans des attaques contre des organisations financières européennes et américaines.
Le CSIRT-NBU et le CERT-UA ukrainiens attribuent les attaques à un acteur menaçant identifié comme « UAC-0188 », qui utilise le code légitime pour masquer les scripts Python qui téléchargent et installent le RMM SuperOps.
Superops RMM est un logiciel de gestion à distance légitime qui donne aux acteurs distants un accès direct aux systèmes compromis.
Le CERT-UA rapporte que les recherches menées à la suite de la découverte initiale de cette attaque ont révélé au moins cinq violations potentielles des mêmes fichiers dans des institutions financières et d’assurance en Europe et aux États-Unis.
Détails de l’attaque
L’attaque commence par un e-mail envoyé à partir de l’adresse « [email protected], « usurper l’identité d’un centre médical avec le sujet » Archives Web personnelles de documents médicaux. »
Le destinataire est invité à télécharger un 33 Mo .Fichier SCR à partir du lien Dropbox fourni. Ce fichier contient du code inoffensif provenant d’un clone Python du jeu Démineur ainsi que du code Python malveillant qui télécharge des scripts supplémentaires à partir d’une source distante (« anotepad.com »).
L’inclusion du code démineur dans l’exécutable sert de couverture à la chaîne codée en base64 de 28 Mo contenant le code malveillant, tentant de le faire paraître bénin pour les logiciels de sécurité.
De plus, le code du démineur contient une fonction nommée « create_license_ver » qui est réutilisée pour décoder et exécuter le code malveillant caché, de sorte que des composants logiciels légitimes sont utilisés pour masquer et faciliter la cyberattaque.
La chaîne base64 est décodée pour assembler un fichier ZIP contenant un programme d’installation MSI pour Superops RMM, qui est finalement extrait et exécuté à l’aide d’un mot de passe statique.
Superops RMM est un outil d’accès à distance légitime, mais dans ce cas, il est utilisé pour accorder aux attaquants un accès non autorisé à l’ordinateur de la victime.
CERT-UA note que les organisations qui n’utilisent pas le produit Supercops RMM doivent traiter sa présence ou l’activité réseau associée, comme les appels au « superops.com » ou » superops.ai » domaines, comme un signe de compromis de hacker.
L’agence a également partagé des indicateurs supplémentaires de compromission (IOC) associés à cette attaque au bas du rapport.