CommonMagic
Οι ερευνητές της Infosec κατάφεραν να εντοπίσουν μια εκστρατεία επίθεσης χρησιμοποιώντας ένα προηγουμένως άγνωστο πλαίσιο κακόβουλου λογισμικού εναντίον οργανισμών από βασικούς τομείς στην Ουκρανία, υποδεικνύοντας ξεκάθαρα τον ενεργό ρόλο που ο κυβερνοπόλεμος συνεχίζει να παίζει ως μέρος του πολέμου. Οι στοχευόμενοι οργανισμοί δραστηριοποιούνται στους τομείς της κυβέρνησης, της γεωργίας και των μεταφορών και βρίσκονται στις περιοχές του Ντόνετσκ, του Λουγκάνσκ και της Κριμαίας.
Αυτές οι επιθέσεις περιλαμβάνουν ένα νέο αρθρωτό πλαίσιο που ονομάζεται CommonMagic, το οποίο δεν έχει ξαναδεί. Το πλαίσιο φαίνεται να έχει σχεδιαστεί για να διεισδύει και να διαταράσσει τους στοχευμένους οργανισμούς, δυνητικά διακυβεύοντας ευαίσθητες πληροφορίες και διακόπτοντας κρίσιμες υποδομές. Δεν είναι ακόμη σαφές ποιος ευθύνεται για αυτές τις επιθέσεις ή ποιοι μπορεί να είναι οι τελικοί στόχοι τους. Η κατάσταση συνεχίζεται και οι οργανισμοί στις πληγείσες περιοχές θα πρέπει να λάβουν μέτρα για να ασφαλίσουν τα δίκτυα και τα συστήματά τους από πιθανές απειλές.
Μια σύνθετη αλυσίδα επίθεσης παραδίδει το CommonMagic Malware
Σύμφωνα με τους ερευνητές, το ακριβές αρχικό διάνυσμα συμβιβασμού είναι ασαφές. Ωστόσο, οι λεπτομέρειες του επόμενου σταδίου της επίθεσης υποδεικνύουν ότι το spear phishing ή παρόμοιες τεχνικές μπορεί να χρησιμοποιηθούν από τους παράγοντες της απειλής.
Οι επιθέσεις ακολουθούν ένα συγκεκριμένο μοτίβο όπου μια κακόβουλη διεύθυνση URL παρουσιάζεται στα θύματα και χρησιμοποιείται για να τα οδηγήσει σε ένα αρχείο ZIP που φιλοξενείται σε έναν παραβιασμένο διακομιστή ιστού. Όταν ανοίξει το παραδοθέν αρχείο ZIP, περιέχει ένα έγγραφο δόλωμα και ένα κακόβουλο αρχείο LNK. Στην επόμενη φάση της επίθεσης, μια κερκόπορτα που ονομάζεται PowerMagic αναπτύσσεται στις συσκευές που έχουν παραβιαστεί. Το backdoor επιτρέπει στον εισβολέα να αποκτήσει πρόσβαση στον υπολογιστή του θύματος και να πραγματοποιήσει διάφορες κακόβουλες δραστηριότητες, αλλά ο κύριος σκοπός του είναι να ανακτήσει και να αναπτύξει το πλαίσιο κακόβουλου λογισμικού CommonMagic, ένα πολύ πιο εξειδικευμένο κομμάτι κακόβουλου λογισμικού.
CommonMagic - Ένα προηγουμένως αόρατο απειλητικό πλαίσιο
Όλα τα θύματα που επηρεάστηκαν από κακόβουλο λογισμικό PowerMagic ανακαλύφθηκε ότι έχουν μολυνθεί από ένα πολύ πιο περίπλοκο και περίπλοκο κακόβουλο πλαίσιο, το οποίο έχει ονομαστεί CommonMagic. Το CommonMagic περιλαμβάνει διάφορες εκτελέσιμες μονάδες, όλες αποθηκευμένες σε έναν κατάλογο που βρίσκεται στο C:\ProgramData\CommonCommand. Κάθε λειτουργική μονάδα ξεκινά ως ανεξάρτητο εκτελέσιμο αρχείο και επικοινωνεί με τις άλλες μέσω επώνυμων σωλήνων. Οι μονάδες έχουν σχεδιαστεί ειδικά για επικοινωνία με τον διακομιστή Command and Control (C&C), κρυπτογράφηση και αποκρυπτογράφηση της κυκλοφορίας C&C και για την πραγματοποίηση πολλών κακόβουλων ενεργειών.
Δύο από τις μονάδες που έχουν ανακαλυφθεί μέχρι σήμερα είναι εξοπλισμένες με τη δυνατότητα λήψης στιγμιότυπων οθόνης σε διαστήματα τριών δευτερολέπτων και ανάκτησης αρχείων ενδιαφέροντος από οποιεσδήποτε συσκευές USB που είναι συνδεδεμένες. Το πλαίσιο χρησιμοποιεί απομακρυσμένους φακέλους OneDrive για τη μεταφορά δεδομένων και τυχόν δεδομένα που ανταλλάσσονται μεταξύ του εισβολέα και του θύματος μέσω του OneDrive κρυπτογραφούνται χρησιμοποιώντας τη βιβλιοθήκη ανοιχτού κώδικα RC5Simple.
