Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA, що діє при Держспецзв’язку, попереджає про діяльність кіберзловмисників, які використовують легітимну програму для віддаленого управління комп'ютерами SuperOps RMM з метою отримання несанкціонованого доступу до інформаційних систем українських організацій.
Спільними зусиллями Центру кіберзахисту Національного банку України та CERT-UA було зафіксовано та проаналізовано кібератаки, в ході яких жертвам надсилалися електронні листи з посиланням на Dropbox, де містився виконуваний файл (.SCR) розміром близько 33 МБ. При запуску цього файлу на комп'ютері жертви відбувається завантаження, декодування та виконання шкідливого Python-коду, який у свою чергу запускає легітимну програму SuperOps RMM. Це надавало зловмисникам несанкціонований віддалений доступ до комп'ютера жертви.
CERT-UA провела додаткове дослідження та виявила п'ять аналогічних файлів, імена яких містили назви фінансових і страхових установ Європи і США. Це свідчить про те, що подібні кібератаки здійснюються з лютого - березня 2024 року та мають доволі широку географію. Описаний кластер кіберзагроз відстежується за ідентифікатором UAC-0188.
Рекомендації CERT-UA: