Das Computer Emergency Response Team der Ukraine (CERT-UA) warnt vor Cyberangriffen auf Computersysteme mit Minesweeper. Diese Angriffe betreffen sowohl ukrainische als auch europäische und US-amerikanische Finanzinstitute. Die Angriffe fanden von Februar bis März 2024 statt und hatten eine weltweite Verbreitung.
Minesweeper ist ein Spiel, das früher auf Windows-Rechnern gespielt wurde. Durch die ehemalige Reputation von Minesweeper und den Bekanntheitsgrad, fällt die Software nicht weiter auf. Allerdings wird das Spiel nicht mehr im Betriebssystem Windows vorinstalliert.
Es dient jetzt dabei, Cyberangriffe zu verdecken und durchzuführen. Diese benutzen einen Klon, der in Python geschrieben ist und die Fernwartungssoftware verbreitet.
Eine Fernwartungssoftware ermöglicht es, Computer und IT-Systeme aus der Ferne zu überwachen, zu verwalten und zu steuern. Diese Art von Programmen wird normalerweise genutzt um Probleme zu erkennen und zu beheben, ohne vor Ort sein zu müssen. Die Funktionen umfassen Fernsteuerung, Dateiübertragung, Softwareinstallation und -updates.
CERT-UA und das CSIRT-NBU (Cyber Security Incident Response Team im Bankensystem der Ukraine) analysierten einen Angriff auf einige ukrainische Organisation und stellten fest, dass die Angreifer die legitime Fernverwaltungssoftware SuperOps RMM installieren wollten.
Die erste Anlaufstelle in den betroffenen Systemen ist üblicherweise über eine legitim aussehen E-Mail mit Dropbox Link. Sie nutzten E-Mails mit Links zu einer Datei, die auf Dropbox gespeichert wurde. Diese 33 MB große Datei enthält den Python-Code für das Spiel Minesweeper sowie einen 28 MByte großen base64-kodierten String.
Ein Teil der Python-Codes lud weiteren Programmcode von anotepad.com herunter und führte ihn aus. Der nachgeladene Code wurde genutzt, um den 28 MB großen String und einen weiteren base64-kodierten String zu verarbeiten. Das Ergebnis war eine ZIP-Datei, die ein statisches Passwort enthielt, und ein MSI-Installer für die SuperOps RMM-Software. Nach der Installation dieser Software konnten die Angreifer direkt auf die betroffenen Systeme zugreifen.
Nach weiteren Untersuchungen wurden Fünf weitere Dateien gefunden die ähnlich waren wie die analysierten SCR-Datei aus der Ukraine. Diese enthielten Namen von Banken und Versicherungen in Europa und Amerika. Diese Dateien zeigen, dass ähnliche Angriffe auf diese Einrichtungen stattgefunden haben könnten. Obwohl CERT-UA keine spezifischen Namen nannte, listeten sie Indikatoren für Kompromittierungen auf, die IT-Verantwortliche nutzen können, um ihre Netzwerke auf Infektionen zu überprüfen. Unternehmen sollten ihren Netzwerkverkehr auf unerwartete Verbindungen zu den Domains *.superops.com oder *.superops.ai überwachen oder bereits vorab vollständig in der Firewall blockieren.
Der Bericht vom CERT-UA sagt: Wir müssen mehr Sicherheit machen. Und wir müssen mehr über die Gefahren von Cyberangriffen wissen. Firmen sollten ihre Sicherheits-Protokolle überprüfen. Und sie sollten sicher sein, dass sie gegen solche Angriffe geschützt sind.
Verbraucher und Firmen müssen wachsam bleiben. Sie sollen verdächtige E-Mails sofort melden. Und sie dürfen keine Links oder Anhänge in solchen Nachrichten anklicken.
Damit du besser lernen kannst wie du schädliche Mails vorab erkennen kannst schau dir unser kleines Tutorial dazu an: Link folgt
/JB