Hacker’lar, kurbanlarını vurmak için Mayın Tarlası oyununa sarıldı

Rus bilgisayar korsanları, nostalji yüklü bir oyun tuzağıyla Avrupa ve Amerika Birleşik Devletleri’ndeki finans kurumlarını amaç alıyor.

Ukrayna’daki iki güvenlik kuruluşu – CSIRT-NBU ve CERT-UA, “UAC-0188” olarak takip ettikleri bir tehdit aktörünün yürüttüğü yeni bir kimlik avı kampanyası konusunda ikazda bulundu. Bu küme birebir vakitte “FRwL” olarak da biliniyor. Bu kısaltmanın 1963 üretimi James Bond sineması From Russia with Love‘ın kısaltması olduğu düşünülüyor.

Grup, bir tıp merkezi üzere davranarak “[email protected]” adresinden kimlik avı e-postaları gönderiyor. E-postalar “Tıbbi Dokümanların Ferdî Web Arşivi” husus satırıyla geliyor ve 33 MB’lık bir ek, Dropbox’ta bulunan ve ünlü Mayın Tarlası Windows oyununun Python klonunun kodunu içeren bir .SCR evrakı içeriyor. Bununla birlikte, klon ayrıyeten uzak bir kaynaktan birkaç adım sonra SuperOps RMM’yi yükleyen ek komut belgeleri da indiriyor.

Remote Monitoring and Management’ın (Uzaktan İzleme ve Yönetim) kısaltması olan SuperOps RMM, yönetilen hizmet sağlayıcılara (MSP’ler) ve BT uzmanlarına müşteri BT altyapısını uzaktan yönetme ve izleme konusunda yardımcı olmak için tasarlanmış bir yazılım platformu. Bu platform BT operasyonlarını kolaylaştırmak, güvenliği artırmak ve verimliliği geliştirmek için çeşitli araçları ve fonksiyonları bir ortaya getiriyor.

Bu aracın kullanımı yasal olsa da Cobalt Strike‘ın başına gelenlere misal biçimde sıklıkla berbata kullanılıyor. SuperOps RMM, saldırganların sistemlere uzaktan erişimini sağlayarak daha tehlikeli makûs emelli yazılımları yerleştirmelerine imkan tanıyor. Ayrıyeten oturum açma kimlik bilgilerini, hassas dataları, bankacılık bilgilerini ve daha pek çok şeyi ele geçirerek bilgi hırsızlığı yapabiliyor.

Olağan maksatların kimler olduğu ya da kümenin kaç kuruluşun güvenliğini tehlikeye attığına dair bir açıklama şimdi yapılmadı.