PowerMagic

Nedávný výzkum odhalil novou kyberšpionážní kampaň, která je zaměřena na vládní agentury a další organizace působící v regionech Ukrajiny, které jsou v současnosti okupovány Ruskem. Tato kampaň využívá dva odlišné a dříve neznámé kmeny malwaru, které byly nazvány PowerMagic a CommonMagic.

Útočníci využívají tyto kmeny malwaru k odcizení dat z cílových zařízení patřících subjektům nacházejícím se v oblastech Doněcka, Luganska a Krymu. Mezi cíle této špionážní kampaně patří vládní agentury, stejně jako zemědělské a dopravní organizace.

Vzhledem k probíhajícímu konfliktu v regionu se zdá vysoce pravděpodobné, že tato nejnovější kyberšpionážní kampaň je součástí většího kybernetického konfliktu mezi Ukrajinou a Ruskem.

Útočníci používají phishingové e-maily a klamné dokumenty

Útočníci za tímto incidentem šířili malware pomocí phishingových e-mailů, které obsahovaly hypertextový odkaz na archiv .zip, který byl hostován na serveru se zlými úmysly.

Archiv .zip se skládal ze dvou souborů: dokumentu, který měl vypadat jako oficiální dekret – s příklady včetně oznámení souvisejících s parlamentními volbami na Krymu nebo plánováním rozpočtu v Doněcku – a také ze škodlivého souboru .lnk. Po otevření by tento soubor .lnk inicioval malware a infikoval cílové zařízení.

V počáteční fázi útoku použili hackeři k infiltraci systému backdoor na bázi PowerShellu s názvem PowerMagic.

PowerMagic je vybaven několika schopnostmi ohrožování

Při dalším zkoumání backdoor PowerMagic bylo zjištěno, že primární část backdoor je načtena ze souboru umístěného na %APPDATA%\WinEventCom\config. Tento soubor je poté dešifrován pomocí jednoduchého algoritmu XOR.

Po dešifrování vstoupí zadní vrátka do nekonečné smyčky, která nepřetržitě komunikuje s určeným serverem Command and Control (C&C). Backdoor poté přijímá příkazy ze serveru a odpovídá nahranými výsledky.

Když PowerMagic úspěšně naváže spojení se serverem C&C, má schopnost provádět libovolné příkazy. Výsledky těchto provedených příkazů jsou exfiltrovány do cloudových služeb, jako je Dropbox a Microsoft OneDrive.

Jedním z hlavních úkolů PowerMagic je však dodat další fázi CommonMagic frameworku infikovaným zařízením. CommonMagic je složitější škodlivý nástroj schopný provádět specifické úkoly.