يستغل القراصنة كودًا مستنسخًا من لعبة “Minesweeper” الشهيرة لشركة مايكروسوفت لإخفاء سكريبتات خبيثة في هجماتهم على المؤسسات المالية في أوروبا والولايات المتحدة.
تشير فرق الاستجابة لحوادث أمن الحاسوب في أوكرانيا (CSIRT-NBU وCERT-UA) إلى أن الفاعل التهديدي المعروف بـ “UAC-0188” هو المسؤول عن هذه الهجمات، حيث يستخدم الكود الشرعي لإخفاء سكريبتات بايثون تقوم بتنزيل وتثبيت برنامج إدارة عن بُعد “SuperOps RMM”.
يعد “SuperOps RMM” برنامجًا شرعيًا لإدارة الأنظمة عن بُعد، إلا أنه في هذه الحالة يُستخدم لمنح الجهات المهاجمة وصولًا مباشرًا إلى الأنظمة المُخترَقة.
تفاصيل الهجوم
يبدأ الهجوم برسالة بريد إلكتروني مرسلة من العنوان “support@patient-docs-mail.com”، متنكرة كرسالة من مركز طبي وتحمل عنوان “أرشيف ويب شخصي للوثائق الطبية”.
يُطلب من المستلم تنزيل ملف بحجم 33 ميغابايت بصيغة .SCR من رابط دروب بوكس المرفق. يحتوي هذا الملف على كود بريء من نسخة مستنسخة للعبة “Minesweeper” بالإضافة إلى كود بايثون خبيث يقوم بتنزيل سكريبتات إضافية من مصدر بعيد (“anotepad.com”).
يتضمن كود “Minesweeper” دالة تسمى “create_license_ver” والتي تُعاد توظيفها لفك تشفير وتنفيذ الكود الخبيث المخفي، مما يجعل المكونات الشرعية للبرنامج تُستخدم كغطاء لتسهيل الهجوم السيبراني.
يتضمن الملف النص المشفر باستخدام قاعدة 64، والذي يتم فك ترميزه لإنشاء ملف مضغوط (ZIP) يحتوي على ملف مثبت MSI لبرنامج “SuperOps RMM”، الذي يتم استخراجه وتنفيذه باستخدام كلمة مرور ثابتة.
توصيات CERT-UA
توصي CERT-UA بأن تعتبر المنظمات التي لا تستخدم منتج “SuperOps RMM” وجوده أو نشاطه على الشبكة، مثل الاتصالات بالمجالات “superops.com” أو “superops.ai”، كعلامة على تعرضها للاختراق.
كما شاركت الوكالة مؤشرات إضافية للاختراق المرتبطة بهذا الهجوم في نهاية التقرير، مشيرة إلى أنه قد تم اكتشاف ما لا يقل عن خمس حالات اختراق محتملة في مؤسسات مالية وشركات تأمين عبر أوروبا والولايات المتحدة باستخدام نفس الملفات.
