كومون ماجيك
تمكن باحثو Infosec من تحديد حملة هجوم باستخدام إطار عمل للبرامج الضارة غير معروف سابقًا ضد مؤسسات من قطاعات رئيسية في أوكرانيا ، مما يشير بوضوح إلى الدور النشط الذي تستمر الحرب الإلكترونية في لعبه كجزء من الحرب. تعمل المنظمات المستهدفة في قطاعات الحكومة والزراعة والنقل وتقع في مناطق دونيتسك ولوغانسك وشبه جزيرة القرم.
تتضمن هذه الهجمات إطار عمل معياري جديد يسمى CommonMagic ، والذي لم يسبق رؤيته من قبل. يبدو أن إطار العمل مصمم للتسلل إلى المنظمات المستهدفة وتعطيلها ، مما قد يؤدي إلى تعريض المعلومات الحساسة للخطر وتعطيل البنية التحتية الحيوية. لم يتضح بعد من المسؤول عن هذه الهجمات أو ما هي أهدافها النهائية. الوضع مستمر ، ويجب على المنظمات في المناطق المتضررة اتخاذ خطوات لتأمين شبكاتها وأنظمتها ضد التهديدات المحتملة.
تقدم سلسلة هجوم معقدة البرنامج الضار CommonMagic
وفقًا للباحثين ، فإن ناقل التسوية الأولي الدقيق غير واضح. ومع ذلك ، فإن تفاصيل المرحلة التالية من الهجوم تشير إلى أن التصيد بالرمح أو الأساليب المماثلة يمكن استخدامها من قبل الجهات المهددة.
تتبع الهجمات نمطًا محددًا حيث يتم تقديم عنوان URL ضار إلى الضحايا ويتم استخدامه لتوجيههم إلى أرشيف مضغوط تمت استضافته على خادم ويب تم اختراقه. عندما يتم فتح ملف ZIP الذي تم تسليمه ، فإنه يحتوي على مستند شرك وملف LNK ضار. في المرحلة التالية من الهجوم ، يتم نشر باب خلفي يسمى PowerMagic على الأجهزة المخترقة. يسمح الباب الخلفي للمهاجم بالوصول إلى كمبيوتر الضحية وتنفيذ أنشطة ضارة مختلفة ، ولكن الغرض الرئيسي منه هو جلب ونشر إطار عمل البرامج الضارة CommonMagic ، وهو جزء أكثر تخصصًا من البرامج الضارة.
CommonMagic - إطار عمل تهديد غير مرئي سابقًا
تم اكتشاف إصابة جميع الضحايا المتأثرين ببرنامج PowerMagic الضار بإطار عمل ضار أكثر تعقيدًا وتطورًا ، والذي أطلق عليه اسم CommonMagic. يتألف CommonMagic من العديد من الوحدات النمطية القابلة للتنفيذ ، والتي يتم تخزينها جميعًا في دليل موجود في C: \ ProgramData \ CommonCommand. تبدأ كل وحدة نمطية كملف تنفيذي مستقل وتتواصل مع الآخرين عبر أنابيب مسماة. تم تصميم الوحدات النمطية خصيصًا للتواصل مع خادم الأوامر والتحكم (C&C) ، وتشفير وفك تشفير حركة مرور C&C ، وتنفيذ العديد من الإجراءات الضارة.
تم تجهيز اثنتين من الوحدات النمطية التي تم اكتشافها حتى الآن بإمكانيات التقاط لقطات شاشة بفواصل زمنية مدتها ثلاث ثوانٍ واسترداد الملفات ذات الأهمية من أي أجهزة USB متصلة. يستخدم إطار العمل مجلدات OneDrive البعيدة لنقل البيانات ، وأي بيانات يتم تبادلها بين المهاجم والضحية عبر OneDrive يتم تشفيرها باستخدام مكتبة RC5Simple مفتوحة المصدر.
