CommonMagic

Els investigadors d'Infosec han aconseguit identificar una campanya d'atac utilitzant un marc de programari maliciós fins ara desconegut contra organitzacions de sectors clau a Ucraïna, cosa que indica clarament el paper actiu que la ciberguerra continua jugant com a part de la guerra. Les organitzacions objectiu operen en els sectors del govern, l'agricultura i el transport i es troben a les regions de Donetsk, Lugansk i Crimea.

Aquests atacs impliquen un nou marc modular anomenat CommonMagic, que no s'havia vist abans. Sembla que el marc està dissenyat per infiltrar-se i interrompre les organitzacions objectiu, potencialment comprometre la informació sensible i alterar la infraestructura crítica. Encara no està clar qui és el responsable d'aquests atacs ni quins poden ser els seus objectius finals. La situació continua i les organitzacions de les zones afectades haurien de prendre mesures per protegir les seves xarxes i sistemes contra possibles amenaces.

Una cadena d'atac complexa ofereix el programari maliciós CommonMagic

Segons els investigadors, el vector de compromís inicial exacte no està clar. No obstant això, els detalls de la següent etapa de l'atac indiquen que els actors de l'amenaça poden utilitzar tècniques de pesca amb llança o similars.

Els atacs segueixen un patró específic on es presenta a les víctimes un URL maliciós i s'utilitza per conduir-les a un arxiu ZIP allotjat en un servidor web compromès. Quan s'obre el fitxer ZIP lliurat, conté un document seductor i un fitxer LNK maliciós. En la següent fase de l'atac, es desplega una porta posterior anomenada PowerMagic als dispositius trencats. La porta del darrere permet a l'atacant accedir a l'ordinador de la víctima i dur a terme diverses activitats malicioses, però el seu objectiu principal és buscar i desplegar el marc de programari maliciós CommonMagic, una peça de programari maliciós molt més especialitzada.

CommonMagic: un marc amenaçador mai vist

S'ha descobert que totes les víctimes afectades pel programari maliciós PowerMagic estaven infectades amb un marc maliciós molt més complex i sofisticat, que s'ha anomenat CommonMagic. CommonMagic inclou diversos mòduls executables, tots ells emmagatzemats en un directori situat a C:\ProgramData\CommonCommand. Cada mòdul s'inicia com un fitxer executable independent i es comunica amb els altres mitjançant canalitzacions anomenades. Els mòduls estan dissenyats específicament per a la comunicació amb el servidor de comandament i control (C&C), xifrat i desxifrat del trànsit C&C i per dur a terme diverses accions malicioses.

Dos dels mòduls descoberts fins ara estan equipats amb les capacitats per capturar captures de pantalla a intervals de tres segons i per recuperar fitxers d'interès des de qualsevol dispositiu USB connectat. El marc utilitza carpetes remotes d'OneDrive per transportar dades i qualsevol dada intercanviada entre l'atacant i la víctima mitjançant OneDrive es xifra mitjançant la biblioteca de codi obert RC5Simple.