近期,乌克兰的计算机紧急响应小组CERTUA及国家银行网络安全中心指出,美国和欧洲的财务及保险机构成为了UAC0188威胁行动的目标。这些攻击利用了一个伪装成 扫雷游戏 的木马化Python克隆版本,旨在隐秘地部署 SuperOps RMM 远程访问工具,提升攻击者对目标系统的控制。
攻击过程开始于一封伪装成医疗中心的电子邮件,发件人地址为 security@baycareorg,邮件中带有一个Dropbox链接,该链接会重定向用户下载一个SCR文件。这个文件不仅包含了克隆扫雷游戏的代码,还含有用于进一步远程脚本下载的恶意Python代码,如 此报道所述。
markdown 攻击步骤 描述 伪装邮件 收到伪装成医疗中心的邮件,含有 Dropbox 链接 下载恶意文件 点击后下载带有代码的 SCR 文件 执行代码 消息体中的扫雷代码能进行解码并执行 部署远程工具 最终实现SuperOps RMM的操作
除了对包含恶意代码的Base64字符串进行混淆外,执行文件中的扫雷代码还支持代码解码和执行,最终导致SuperOps RMM的执行。研究人员补充道,攻击者随后利用这一工具渗透目标组织的计算机,实施更深入的攻击。
务必提高警惕,确保对邮件的来源进行核实,并谨慎处理可疑链接,以保护您的组织免受此类攻击的威胁。
