باور ماجيك
كشفت الأبحاث الحديثة عن حملة تجسس إلكتروني جديدة تستهدف الوكالات الحكومية والمنظمات الأخرى العاملة داخل مناطق أوكرانيا التي تحتلها روسيا حاليًا. تستخدم هذه الحملة نوعين من البرامج الضارة المميزة وغير المعروفة سابقًا ، والتي أطلق عليها اسم PowerMagic و CommonMagic.
يستخدم المهاجمون هذه السلالات من البرامج الضارة لسرقة البيانات من الأجهزة المستهدفة التابعة لكيانات تقع في مناطق دونيتسك ولوغانسك وشبه جزيرة القرم. تشمل أهداف حملة التجسس هذه الوكالات الحكومية ، فضلاً عن منظمات الزراعة والنقل.
يبدو من المحتمل جدًا أن تكون حملة التجسس الإلكتروني الأخيرة هذه جزءًا من الصراع السيبراني الأكبر بين أوكرانيا وروسيا ، نظرًا للصراع المستمر في المنطقة.
يستخدم المهاجمون رسائل البريد الإلكتروني المخادعة والمستندات الخادعة
قام المهاجمون الذين يقفون وراء هذا الحادث بنشر البرامج الضارة من خلال استخدام رسائل البريد الإلكتروني المخادعة ، والتي تحتوي على ارتباط تشعبي بأرشيف .zip تمت استضافته على خادم لديه نوايا ضارة.
يتألف أرشيف .zip من ملفين: مستند تم إخفاءه ليكون مرسومًا رسميًا - مع أمثلة تشمل الإخطارات المتعلقة بالانتخابات البرلمانية في شبه جزيرة القرم أو تخطيط الميزانية في دونيتسك - بالإضافة إلى ملف .lnk ضار. عند فتحه ، سيبدأ ملف .lnk هذا البرنامج الضار ويصيب الجهاز المستهدف.
في المرحلة الأولى من الهجوم ، استخدم المتسللون بابًا خلفيًا يستند إلى PowerShell يسمى PowerMagic للتسلل إلى النظام.
تم تجهيز PowerMagic بقدرات تهديد متعددة
بعد إجراء مزيد من الفحص للباب الخلفي PowerMagic ، تم اكتشاف أن القسم الأساسي للباب الخلفي تتم قراءته من الملف الموجود في٪ APPDATA٪ \ WinEventCom \ config. ثم يتم فك تشفير هذا الملف من خلال استخدام خوارزمية XOR بسيطة.
بعد فك التشفير ، يدخل الباب الخلفي في حلقة لا نهائية تتواصل باستمرار مع خادم القيادة والتحكم (C&C) المخصص له. ثم يتلقى الباب الخلفي الأوامر من الخادم ويستجيب بالنتائج التي تم تحميلها.
عندما ينشئ PowerMagic اتصالاً بخادم القيادة والتحكم بنجاح ، يكون لديه القدرة على تنفيذ أوامر عشوائية. يتم نقل نتائج هذه الأوامر المنفذة إلى الخدمات السحابية مثل Dropbox و Microsoft OneDrive.
ومع ذلك ، فإن إحدى المهام الرئيسية لبرنامج PowerMagic هي تقديم إطار عمل CommonMagic للمرحلة التالية للأجهزة المصابة. CommonMagic هي أداة ضارة أكثر تعقيدًا قادرة على أداء مهام محددة.
