Rus bilgisayar korsanları, nostalji yüklü bir oyun tuzağıyla Avrupa ve Amerika Birleşik Devletleri'ndeki finans kurumlarını hedef alıyor.
Ukrayna'daki iki güvenlik kuruluşu - CSIRT-NBU ve CERT-UA, “UAC-0188” olarak takip ettikleri bir tehdit aktörünün yürüttüğü yeni bir kimlik avı kampanyası konusunda uyarıda bulundu. Bu grup aynı zamanda “FRwL” olarak da biliniyor. Bu kısaltmanın 1963 yapımı James Bond filmi From Russia with Love'ın kısaltması olduğu düşünülüyor.
Grup, bir tıp merkezi gibi davranarak “[email protected]” adresinden kimlik avı e-postaları gönderiyor. E-postalar “Tıbbi Belgelerin Kişisel Web Arşivi” konu satırıyla geliyor ve 33 MB'lık bir ek, Dropbox'ta bulunan ve ünlü Mayın Tarlası Windows oyununun Python klonunun kodunu içeren bir .SCR dosyası içeriyor. Bununla birlikte, klon ayrıca uzak bir kaynaktan birkaç adım sonra SuperOps RMM'yi yükleyen ek komut dosyaları da indiriyor.
Remote Monitoring and Management'ın (Uzaktan İzleme ve Yönetim) kısaltması olan SuperOps RMM, yönetilen hizmet sağlayıcılara (MSP'ler) ve BT uzmanlarına müşteri BT altyapısını uzaktan yönetme ve izleme konusunda yardımcı olmak için tasarlanmış bir yazılım platformu. Bu platform BT operasyonlarını kolaylaştırmak, güvenliği artırmak ve verimliliği geliştirmek için çeşitli araçları ve işlevleri bir araya getiriyor.
Bu aracın kullanımı yasal olsa da Cobalt Strike'ın başına gelenlere benzer şekilde sıklıkla kötüye kullanılıyor. SuperOps RMM, saldırganların sistemlere uzaktan erişimini sağlayarak daha tehlikeli kötü amaçlı yazılımları yerleştirmelerine olanak tanıyor. Ayrıca oturum açma kimlik bilgilerini, hassas verileri, bankacılık bilgilerini ve daha pek çok şeyi ele geçirerek bilgi hırsızlığı yapabiliyor.
Olağan hedeflerin kimler olduğu ya da grubun kaç kuruluşun güvenliğini tehlikeye attığına dair bir açıklama henüz yapılmadı.