CommonMagic
Infosec-forskere har formået at identificere en angrebskampagne ved hjælp af en hidtil ukendt malwareramme mod organisationer fra nøglesektorer i Ukraine, hvilket klart indikerer den aktive rolle, som cyberkrigsførelse fortsætter med at spille som en del af krigen. De målrettede organisationer opererer i regerings-, landbrugs- og transportsektorerne og er placeret i Donetsk, Lugansk og Krim-regionerne.
Disse angreb involverer en ny modulær ramme kaldet CommonMagic, som ikke er set før. Rammen ser ud til at være designet til at infiltrere og forstyrre de målrettede organisationer, potentielt kompromittere følsom information og forstyrre kritisk infrastruktur. Det er endnu ikke klart, hvem der er ansvarlig for disse angreb, eller hvad deres endelige mål kan være. Situationen er vedvarende, og organisationer i de berørte områder bør tage skridt til at sikre deres netværk og systemer mod potentielle trusler.
En kompleks angrebskæde leverer CommonMagic-malwaren
Ifølge forskerne er den nøjagtige indledende kompromisvektor uklar. Men detaljerne i næste fase af angrebet indikerer, at spear phishing eller lignende teknikker kan blive brugt af trusselsaktørerne.
Angrebene følger et specifikt mønster, hvor en ondsindet URL præsenteres for ofrene og bruges til at føre dem til et ZIP-arkiv, der er hostet på en kompromitteret webserver. Når den leverede ZIP-fil åbnes, indeholder den et lokkedokument og en ondsindet LNK-fil. I den næste fase af angrebet bliver en bagdør ved navn PowerMagic indsat på de brudte enheder. Bagdøren giver angriberen mulighed for at få adgang til ofrets computer og udføre forskellige ondsindede aktiviteter, men dens hovedformål er at hente og implementere CommonMagic malware-rammeværket, et langt mere specialiseret stykke ondsindet software.
CommonMagic - En tidligere uset truende ramme
Alle ofrene, der er påvirket af PowerMagic- malware, er blevet opdaget at være blevet inficeret med en meget mere indviklet og sofistikeret ondsindet ramme, som er blevet døbt CommonMagic. CommonMagic består af forskellige eksekverbare moduler, som alle er gemt i en mappe placeret på C:\ProgramData\CommonCommand. Hvert modul starter som en uafhængig eksekverbar fil og kommunikerer med de andre via navngivne rør. Modulerne er specielt designet til kommunikation med Command and Control (C&C) serveren, kryptering og dekryptering af C&C trafikken og udførelse af adskillige ondsindede handlinger.
To af modulerne, der er opdaget til dato, er udstyret med mulighederne for at tage skærmbilleder med tre sekunders intervaller og til at hente filer af interesse fra enhver USB-enhed, der er tilsluttet. Rammen bruger OneDrive-fjernmapper til at transportere data, og alle data, der udveksles mellem angriberen og offeret via OneDrive, krypteres ved hjælp af RC5Simple open source-biblioteket.
