Dans une nouvelle vague sophistiquée de cyberattaques en mai 2024, les pirates utilisent le code d’un clone Python du jeu classique Minesweeper de Microsoft pour cacher des scripts malveillants ciblant les institutions financières en Europe et aux États-Unis. Ces attaques, attribuées à l’acteur de la menace connu sous le nom de ‘UAC-0188,’ font monter les alarmes dans le paysage de la cybersécurité.
Le vecteur d’attaque
Le vecteur d’attaque initial est un e-mail se faisant passer pour une communication d’un centre médical. L’email, envoyé de “support@patient-docs-mail.com,” a pour objet “Archives Web personnelles de documents médicaux” et exhorte les destinataires à télécharger un 33 Mo .Fichier SCR à partir d’un lien Dropbox. Ce fichier est habilement déguisé, contenant du code apparemment inoffensif d’une version Python de Démineur aux côtés de scripts malveillants cachés.
(source : BleepingComputer )
Décomposition technique
-
Phishing par email : L’attaque commence par un courriel de phishing qui incite les destinataires à télécharger un fichier . SCR.
-
Charge utile déguisée : Fichier .SCR, tout en contenant du code du jeu Minesweeper, comprend également une chaîne de caractères encodée en base64 de 28 Mo qui cache les scripts malveillants.
-
Mécanisme d’exécution : Le code de Minesweeper est modifié pour inclure une fonction appelée « creapfte license_ver », qui est réutilisée pour décoder et exécuter le code malveillant.
-
Livraison de la charge utile : La chaîne base64 décodée assemble un fichier ZIP contenant un programme d’installation MSI pour Super Ops RMM, un outil de gestion à distance légitime. Ce programme d’installation est extrait et exécuté à l’aide d’un mot de passe statique.
Le rôle des Superops RMM
Superops RMM est un logiciel légitime conçu pour la gestion à distance. Cependant, dans cette attaque, il est exploité pour accorder aux attaquants un accès direct aux systèmes compromis. Cette utilisation abusive met en évidence la tendance croissante à utiliser des outils légitimes à des fins malveillantes.
Indicateurs de compromission (IOC)
À la suite de la découverte initiale, les chercheurs ont identifié au moins cinq violations impliquant des institutions financières et d’assurance en Europe et aux États-Unis. CERT-UA a partagé plusieurs IOC pour aider les organisations à détecter et à atténuer ces attaques. Les indicateurs clés comprennent:
-
Présence inattendue du logiciel RMM SuperOps sur les systèmes n’utilisant pas le produit.
-
Activité du réseau impliquant des appels à “superops.com” ou “superops.ai” domaines.
Atténuation et recommandations
Il est conseillé aux organisations de prendre les mesures suivantes pour se protéger contre ces attaques sophistiquées:
-
Filtrage des e-mails : Améliorez les mécanismes de filtrage des e-mails pour identifier et bloquer les pièces jointes et liens suspects.
-
Analyse de fichiers : Implémentez des solutions d’analyse de fichiers robustes capables de détecter le code malveillant caché dans des fichiers apparemment légitimes.
-
Surveillance du réseau : Surveillez le trafic réseau pour détecter toute activité inhabituelle, en particulier les connexions aux domaines associés à SuperOps RMM.
-
Formation de sensibilisation : Organisez régulièrement des formations de sensibilisation à la cybersécurité pour les employés afin de reconnaître les tentatives d’hameçonnage et les communications suspectes.
L’utilisation de logiciels légitimes et de codes de jeu familiers pour masquer les cyberattaques représente une évolution significative des tactiques des acteurs de la menace. En comprenant ces méthodes et en mettant en œuvre des mesures de sécurité proactives, les organisations peuvent mieux se défendre contre ces cybermenaces de plus en plus sophistiquées. Restez vigilant et assurez-vous que vos protocoles de sécurité sont suffisamment robustes pour gérer de tels vecteurs d’attaque innovants.
