CommonMagic

Výzkumníkům společnosti Infosec se podařilo identifikovat útočnou kampaň využívající dříve neznámý rámec malwaru proti organizacím z klíčových sektorů na Ukrajině, což jasně naznačuje aktivní roli, kterou kybernetická válka nadále hraje jako součást války. Cílové organizace působí ve vládním, zemědělském a dopravním sektoru a nacházejí se v oblastech Doněcka, Luganska a Krymu.

Tyto útoky zahrnují nový modulární rámec nazvaný CommonMagic, který dosud nebyl k vidění. Zdá se, že rámec je navržen tak, aby infiltroval a narušil cílové organizace, potenciálně ohrozil citlivé informace a narušil kritickou infrastrukturu. Zatím není jasné, kdo je za tyto útoky zodpovědný ani jaké mohou být jejich konečné cíle. Situace trvá a organizace v postižených oblastech by měly podniknout kroky k zabezpečení svých sítí a systémů proti potenciálním hrozbám.

Komplexní řetězec útoků přináší malware CommonMagic

Podle výzkumníků je přesný počáteční kompromisní vektor nejasný. Podrobnosti o další fázi útoku však naznačují, že aktéři hrozby mohou použít spear phishing nebo podobné techniky.

Útoky se řídí specifickým vzorem, kdy je obětem prezentována škodlivá adresa URL, která je vede k archivu ZIP hostovanému na kompromitovaném webovém serveru. Když je dodaný soubor ZIP otevřen, obsahuje návnadu a škodlivý soubor LNK. V další fázi útoku jsou na narušená zařízení nasazena zadní vrátka s názvem PowerMagic. Zadní vrátka umožňují útočníkovi získat přístup k počítači oběti a provádět různé škodlivé aktivity, ale jeho hlavním účelem je získat a nasadit malwarový rámec CommonMagic, mnohem specializovanější část škodlivého softwaru.

CommonMagic – dříve nevídaný rámec pro hrozby

Bylo zjištěno, že všechny oběti zasažené malwarem PowerMagic byly infikovány mnohem složitějším a sofistikovanějším škodlivým rámcem, který byl nazván CommonMagic. CommonMagic obsahuje různé spustitelné moduly, z nichž všechny jsou uloženy v adresáři C:\ProgramData\CommonCommand. Každý modul se spouští jako nezávislý spustitelný soubor a komunikuje s ostatními prostřednictvím pojmenovaných kanálů. Moduly jsou speciálně navrženy pro komunikaci se serverem Command and Control (C&C), šifrování a dešifrování provozu C&C a provádění několika škodlivých akcí.

Dva z dosud objevených modulů jsou vybaveny schopnostmi pořizovat snímky obrazovky v třísekundových intervalech a získávat soubory, které vás zajímají, ze všech připojených USB zařízení. Framework používá k přenosu dat vzdálené složky OneDrive a veškerá data vyměňovaná mezi útočníkem a obětí prostřednictvím OneDrive jsou šifrována pomocí open-source knihovny RC5Simple.