PowerMagic

Nyere forskning har afsløret en ny cyberspionagekampagne, der er rettet mod offentlige myndigheder og andre organisationer, der opererer i regioner i Ukraine, som i øjeblikket er besat af Rusland. Denne kampagne bruger to særskilte og hidtil ukendte malware-stammer, som er blevet døbt PowerMagic og CommonMagic.

Angriberne anvender disse stammer af malware til at stjæle data fra de målrettede enheder, der tilhører enheder i Donetsk-, Lugansk- og Krim-regionerne. Målene for denne spionagekampagne omfatter statslige agenturer samt landbrugs- og transportorganisationer.

Det forekommer meget sandsynligt, at denne seneste cyberspionagekampagne er en del af den større cyberkonflikt mellem Ukraine og Rusland, givet den igangværende konflikt i regionen.

Angriberne bruger phishing-e-mails og lokkedokumenter

Angriberne bag denne hændelse spredte malware ved at bruge phishing-e-mails, som indeholdt et hyperlink til et .zip-arkiv, der var hostet på en server, der havde ondsindede hensigter.

.zip-arkivet var sammensat af to filer: et dokument, der var blevet forklædt til at fremstå som et officielt dekret – med eksempler, herunder meddelelser relateret til parlamentsvalg på Krim eller budgetplanlægning i Donetsk – samt en ondsindet .lnk-fil. Ved åbning vil denne .lnk-fil starte malwaren og inficere den målrettede enhed.

I den indledende fase af angrebet brugte hackerne en PowerShell-baseret bagdør kaldet PowerMagic til at infiltrere systemet.

PowerMagic er udstyret med flere truende egenskaber

Ved yderligere undersøgelse af PowerMagic-bagdøren blev det opdaget, at den primære sektion af bagdøren læses fra filen, der findes på %APPDATA%\WinEventCom\config. Denne fil dekrypteres derefter ved hjælp af en simpel XOR-algoritme.

Efter dekryptering går bagdøren ind i en uendelig sløjfe, der kontinuerligt kommunikerer med dens udpegede Command and Control (C&C) server. Bagdøren modtager derefter kommandoer fra serveren og svarer med uploadede resultater.

Når PowerMagic med succes etablerer en forbindelse med C&C-serveren, har den mulighed for at udføre vilkårlige kommandoer. Resultaterne af disse udførte kommandoer eksfiltreres til skytjenester såsom Dropbox og Microsoft OneDrive.

En af PowerMagics hovedopgaver er dog at levere det næste trin af CommonMagic- rammeværket til de inficerede enheder. CommonMagic er et mere kompliceret ondsindet værktøj, der er i stand til at udføre specifikke opgaver.