黑客利用扫雷游戏 Python 克隆隐藏恶意脚本,攻击欧洲和美国金融机构
近期,乌克兰的国家计算机紧急响应小组(CSIRT-NBU)和乌克兰计算机紧急响应小组(CERT-UA)共同揭露了一起黑客攻击事件。攻击者利用微软经典扫雷游戏的Python克隆代码,隐藏针对欧洲和美国金融机构的恶意脚本。 攻击背景与执行者 本次攻击被追踪到一个代号为“UAC-0188”的威胁行为者。该黑客组织通过使用合法代码,成功地隐藏并下载安装了SuperOps RMM的Python脚本。 SuperOps RMM是一款合法的远程管理软件,但被攻击者用来直接访问被入侵的系统。CERT-UA的报告指出,自攻击被发现以来,已经有至少五起涉及欧洲和美国金融及保险机构的潜在相同文件的违规行为。 攻击细节 攻击从一封伪装成医疗中心的电子邮件开始,发件地址为“support@patient-docs-mail.com”,邮件主题为“个人医疗文档的网络档案”。受害者被诱导从提供的Dropbox链接下载一个33MB的.SCR文件。 该文件包含了一个无害的Python克隆扫雷游戏代码,但同时也隐藏了从远程源(anotepad.com)下载额外脚本的恶意Python代码。扫雷代码中包含一个名为“creat...
