CERT-UA попереджає про кіберзагрозу: цілеспрямовані атаки з використанням програми віддаленого доступу SuperOps RMM

Спільними зусиллями Центру кіберзахисту Національного банку України та CERT-UA було зафіксовано та проаналізовано кібератаки, в ході яких жертвам надсилалися електронні листи з посиланнями на Dropbox, де містився виконуваний файл (.SCR) розміром близько 33 МБ. При запуску цього файлу на комп'ютері жертви відбувається завантаження, декодування та виконання шкідливого Python-коду, який у своєму процесі запускає легітимну програму SuperOps RMM. Це надавало зловмисникам несанкціонований віддалений доступ до комп'ютера жертви.

CERT-UA провів додаткове дослідження та виявив п’ять аналогічних файлів, імена яких містили назви фінансових і страхових установ Європи та США. Це відомо про те, що подібні кібератаки описані з лютого - березня 2024 року та мають досить широку географію. Описаний кластер кіберзагроз відстежується за ідентифікатором UAC-0188.

Рекомендації CERT-UA:

• організаціям, які не використовують продукт SuperOps RMM, користуються певною мірою у великій мережевій активності, що пов’язана з доменними іменами: .superops.com, .superops.ai;
• вживайте заходи щодо підвищення кібергігієни співробітників;
• використовуйте та постійно оновлюйте антивірусне програмне забезпечення;
• регулярно оновлюйте операційні системи та програмне забезпечення;
• використовуйте надійні паролі та регулярно їх змінюйте;
• створюйте резервні копії важливих даних.

За інформацією Держспецзв'язку.