PowerMagic

Скорошни изследвания разкриха нова кампания за кибершпионаж, която е насочена към правителствени агенции и други организации, работещи в региони на Украйна, които в момента са окупирани от Русия. Тази кампания използва два различни и неизвестни досега вида зловреден софтуер, наречени PowerMagic и CommonMagic.

Нападателите използват тези видове злонамерен софтуер, за да крадат данни от целевите устройства, принадлежащи на организации, разположени в регионите Донецк, Луганск и Крим. Целите на тази шпионска кампания включват правителствени агенции, както и селскостопански и транспортни организации.

Изглежда много вероятно тази последна кампания за кибершпионаж да е част от по-големия кибер конфликт между Украйна и Русия, предвид продължаващия конфликт в региона.

Нападателите използват фишинг имейли и документи за примамка

Нападателите зад този инцидент разпространиха злонамерен софтуер, като използваха фишинг имейли, които съдържаха хипервръзка към .zip архив, хостван на сървър със злонамерени намерения.

.zip архивът се състои от два файла: документ, който е бил маскиран, за да изглежда като официален указ – с примери, включително уведомления, свързани с парламентарни избори в Крим или бюджетно планиране в Донецк – както и злонамерен .lnk файл. При отваряне този .lnk файл ще инициира зловреден софтуер и ще зарази целевото устройство.

В началната фаза на атаката хакерите използваха базирана на PowerShell задна врата, наречена PowerMagic, за да проникнат в системата.

PowerMagic е оборудван с множество заплашителни способности

При по-нататъшно изследване на задната врата на PowerMagic беше открито, че основната секция на задната врата се чете от файла, намиращ се на %APPDATA%\WinEventCom\config. След това този файл се дешифрира чрез използването на прост алгоритъм XOR.

След декриптиране, задната врата влиза в безкраен цикъл, който непрекъснато комуникира с определения сървър за командване и контрол (C&C). След това задната врата получава команди от сървъра и отговаря с качени резултати.

Когато PowerMagic успешно установи връзка с C&C сървъра, той има способността да изпълнява произволни команди. Резултатите от тези изпълнени команди се ексфилтрират в облачни услуги като Dropbox и Microsoft OneDrive.

Една от основните задачи на PowerMagic обаче е да достави CommonMagic рамката на следващия етап на заразените устройства. CommonMagic е по-сложен злонамерен инструмент, способен да изпълнява специфични задачи.