Das CERT-UA warnt vor gezielten Angriffen zum Erlangen unbefugten Zugriffs auf Computer. Als Köder nutzen die Täter Minesweeper.
Der CERT der Ukraine (CERT-UA) warnt vor gezielten Attacken mit dem Ziel, unbefugten Zugriff auf Computer zu erlangen. Aber auch europäische und US-amerikanische Finanz- und Versicherungsorganisationen seien womöglich im Visier der Angreifer gewesen.
Zwischen Februar und März dieses Jahres seien die Angriffe mit geografisch weiter Verbreitung ausgeführt worden. Bei der Analyse einer Cyberattacke auf eine ukrainische Organisation haben das CERT-UA und CSIRT-NBU (Cyber Security Incident Response Team im Bankensystem der Ukraine) herausgefunden, dass die Angreifer eine legitime Fernverwaltungssoftware namens SuperOps RMM verankern wollten.
Einfallstor E-Mail mit Minesweeper an Mitarbeiter
Die Täter hatten im analysierten Fall eine E-Mail mit einem Link zu Dropbox geschickt, der dort auf eine ausführbare SCR-Datei mit 33 MByte Größe verwies. Diese Datei wurde mit PyInstaller erstellt und enthielt unter anderem legitimen Pythone-Code für das Spiel Minesweeper – und einen 28 MByte großen base64-kodierten String. Zudem lädt ein anderer Teil der Software Python-Code vom anotepad.com-Dienst herunter, dekodiert ihn und führt ihn schließlich aus.
Der nachgeladene Code ruft die Funktion create_license_ver
von Saper – so heißt die Python-Minesweeper-Variante – auf, als Argument übergibt er den 28 MByte großen String sowie einen base64-kodierten String aus dem nachgeladenen Skript. Das wirft am Ende eine ZIP-Datei aus, die mit einem statischen Passwort versehen ist und einen MSI-Installer mit der SuperOps RMM-Software enthält. Der wird schließlich ausgeführt und liefert den Angreifern unbefugten Zugriff aus dem Netz auf den Computer.
Bei der weiteren Untersuchungen der Vorgehensweise der Angreifer haben die IT-Spezialisten fünf weitere, der SCR-Datei ähnelnde Dateien gefunden, deren Namen Finanz- und Versicherungsinstituten in Europa und den USA enthielten. Diese seien wahrscheinlich ebenfalls angegriffen worden. Die konkreten Namen nennt das CERT-UA jedoch nicht. Allerdings listet die Analyse des CERT-UA Hinweise für Infektionen (Indicators of Compromise, IOCs) auf, mit denen IT-Verantwortliche untersuchen können, ob Maschinen in ihren Netzwerken betroffen sind. Zudem sollte der Netzwerkverkehr überprüft werden, ob der unerwartete Verbindungen zu *.superops.com oder *.superops.ai enthält.