که سوسک هکرهای روسی موسسات مالی در اروپا و ایالات متحده را با یک بازی نوستالژیک مورد هدف قرار می دهند.
دو آژانس امنیتی در اوکراین - CSIRT-NBU، و CERT-UA، نسبت به یک کمپین فیشینگ جدید که توسط یک عامل تهدید که آنها با نام "UAC-0188" دنبال می کنند، هشدار دادند. این گروه با نام «FRwL» نیز شناخته میشود که به احتمال زیاد مخفف «از روسیه با عشق» یک فیلم جیمز باند محصول 1963 است.
این گروه در حال ارسال ایمیل های فیشینگ از " support@patient-docs-mail.com " است که وانمود می کند یک مرکز پزشکی است. ایمیلها با موضوع «بایگانی وب شخصی اسناد پزشکی» ارائه میشوند و یک پیوست 33 مگابایتی، یک فایل .SCR میزبانی شده در Dropbox حاوی کدی از یک شبیهسازی پایتون از بازی معروف Minesweeper Windows هستند. با این حال، کلون همچنین اسکریپت های اضافی را از یک منبع راه دور دانلود می کند که پس از چند مرحله دیگر، در نهایت SuperOps RMM را نصب می کند.
سوء استفاده از SuperOps RMM
SuperOps RMM، مخفف Remote Monitoring and Management، یک پلتفرم نرم افزاری است که برای کمک به ارائه دهندگان خدمات مدیریت شده (MSPs) و متخصصان فناوری اطلاعات در مدیریت و نظارت بر زیرساخت IT مشتری از راه دور طراحی شده است. این ابزارها و عملکردهای مختلف را برای ساده کردن عملیات فناوری اطلاعات، افزایش امنیت و بهبود کارایی یکپارچه می کند.
این ابزار قانونی است، اما اغلب مورد سوء استفاده قرار می گیرد، مشابه آنچه برای Cobalt Strike رخ داد. SuperOps RMM به مهاجمان امکان دسترسی از راه دور به سیستمهای در معرض خطر را میدهد، که سپس میتوانند از آن برای استقرار بدافزارها یا دزدهای اطلاعاتی جدیتر، گرفتن اعتبارنامههای ورود، دادههای حساس، اطلاعات بانکی و موارد دیگر استفاده کنند.
مدیران فناوری اطلاعات باید فعالیت شبکه خود را برای حضور SuperOps RMM نظارت کنند و اگر معمولاً از نرم افزار استفاده نمی کنند (یا می دانند که اصلاً آن را نصب نمی کنند)، باید فعالیت را به عنوان نشانه ای از سازش در نظر بگیرند.
هیچ سخنی در مورد اینکه اهداف معمول چه کسانی هستند، یا چه تعداد سازمانی که این گروه موفق به مصالحه شد، وجود نداشت.
از طریق Bleeping Computer
ارسال نظر