CommonMagic

Изследователите на Infosec са успели да идентифицират кампания за атака, използваща неизвестна досега рамка за злонамерен софтуер срещу организации от ключови сектори в Украйна, което ясно показва активната роля, която кибервойната продължава да играе като част от войната. Целевите организации работят в секторите на правителството, селското стопанство и транспорта и са разположени в регионите Донецк, Луганск и Крим.

Тези атаки включват нова модулна рамка, наречена CommonMagic, която не е виждана досега. Рамката изглежда е предназначена да проникне и да наруши целевите организации, като потенциално компрометира чувствителна информация и нарушава критична инфраструктура. Все още не е ясно кой е отговорен за тези атаки или какви могат да бъдат крайните им цели. Ситуацията продължава и организациите в засегнатите райони трябва да предприемат стъпки за защита на своите мрежи и системи срещу потенциални заплахи.

Сложна верига от атаки доставя CommonMagic злонамерен софтуер

Според изследователите точният първоначален компромисен вектор е неясен. Въпреки това, подробностите за следващия етап на атаката показват, че spear phishing или подобни техники могат да бъдат използвани от участниците в заплахата.

Атаките следват специфичен модел, при който злонамерен URL адрес се представя на жертвите и се използва, за да ги отведе до ZIP архив, хостван на компрометиран уеб сървър. Когато доставеният ZIP файл се отвори, той съдържа документ-примамка и злонамерен LNK файл. В следващата фаза на атаката на пробитите устройства се разполага задна вратичка, наречена PowerMagic. Задната вратичка позволява на атакуващия да получи достъп до компютъра на жертвата и да извърши различни злонамерени дейности, но основната му цел е да извлече и внедри рамката за злонамерен софтуер CommonMagic, много по-специализирана част от злонамерен софтуер.

CommonMagic - невиждана досега заплашителна рамка

Установено е, че всички жертви, засегнати от зловреден софтуер PowerMagic , са били заразени с много по-сложна и усъвършенствана злонамерена рамка, която е наречена CommonMagic. CommonMagic се състои от различни изпълними модули, всички от които се съхраняват в директория, разположена в C:\ProgramData\CommonCommand. Всеки модул се инициира като независим изпълним файл и комуникира с останалите чрез именувани канали. Модулите са специално проектирани за комуникация със сървъра за командване и контрол (C&C), криптиране и декриптиране на C&C трафика и извършване на няколко злонамерени действия.

Два от модулите, открити до момента, са оборудвани с възможности за заснемане на екранни снимки на интервали от три секунди и за извличане на интересни файлове от всички свързани USB устройства. Рамката използва отдалечени папки на OneDrive за транспортиране на данни и всички данни, обменени между нападателя и жертвата чрез OneDrive, се криптират с помощта на библиотеката с отворен код RC5Simple.