PowerMagic

Πρόσφατη έρευνα αποκάλυψε μια νέα εκστρατεία κυβερνοκατασκοπείας που στοχεύει σε κυβερνητικές υπηρεσίες και άλλους οργανισμούς που δραστηριοποιούνται σε περιοχές της Ουκρανίας που επί του παρόντος κατέχονται από τη Ρωσία. Αυτή η καμπάνια χρησιμοποιεί δύο διαφορετικά και προηγουμένως άγνωστα στελέχη κακόβουλου λογισμικού, τα οποία έχουν ονομαστεί PowerMagic και CommonMagic.

Οι εισβολείς χρησιμοποιούν αυτά τα στελέχη κακόβουλου λογισμικού για να κλέψουν δεδομένα από στοχευμένες συσκευές που ανήκουν σε οντότητες που βρίσκονται στις περιοχές του Ντόνετσκ, του Λούγκανσκ και της Κριμαίας. Στους στόχους αυτής της εκστρατείας κατασκοπείας περιλαμβάνονται κυβερνητικές υπηρεσίες, καθώς και οργανισμοί γεωργίας και μεταφορών.

Φαίνεται πολύ πιθανό ότι αυτή η τελευταία εκστρατεία κυβερνοκατασκοπείας αποτελεί μέρος της ευρύτερης κυβερνο σύγκρουσης μεταξύ Ουκρανίας και Ρωσίας, δεδομένης της συνεχιζόμενης σύγκρουσης στην περιοχή.

Οι επιτιθέμενοι χρησιμοποιούν ηλεκτρονικά μηνύματα ηλεκτρονικού ψαρέματος και έγγραφα παραπλάνησης

Οι εισβολείς πίσω από αυτό το περιστατικό διέδωσαν κακόβουλο λογισμικό χρησιμοποιώντας μηνύματα ηλεκτρονικού ψαρέματος, τα οποία περιείχαν έναν υπερσύνδεσμο σε ένα αρχείο .zip που φιλοξενούνταν σε έναν διακομιστή που είχε κακόβουλο σκοπό.

Το αρχείο .zip αποτελούταν από δύο αρχεία: ένα έγγραφο που είχε μεταμφιεστεί για να εμφανίζεται ως επίσημο διάταγμα –με παραδείγματα όπως ειδοποιήσεις σχετικά με τις κοινοβουλευτικές εκλογές στην Κριμαία ή τον προϋπολογισμό στο Ντόνετσκ– καθώς και ένα κακόβουλο αρχείο .lnk. Μόλις ανοίξει, αυτό το αρχείο .lnk θα εκκινήσει το κακόβουλο λογισμικό και θα μολύνει τη στοχευμένη συσκευή.

Στην αρχική φάση της επίθεσης, οι χάκερ χρησιμοποίησαν μια κερκόπορτα που βασίζεται στο PowerShell που ονομάζεται PowerMagic για να διεισδύσουν στο σύστημα.

Το PowerMagic είναι εξοπλισμένο με πολλαπλές απειλητικές δυνατότητες

Μετά από περαιτέρω εξέταση της κερκόπορτας του PowerMagic, ανακαλύφθηκε ότι το κύριο τμήμα της κερκόπορτας διαβάζεται από το αρχείο που βρίσκεται στο %APPDATA%\WinEventCom\config. Αυτό το αρχείο στη συνέχεια αποκρυπτογραφείται μέσω της χρήσης ενός απλού αλγορίθμου XOR.

Μετά την αποκρυπτογράφηση, η κερκόπορτα εισέρχεται σε έναν άπειρο βρόχο που επικοινωνεί συνεχώς με τον καθορισμένο διακομιστή εντολής και ελέγχου (C&C). Στη συνέχεια, η κερκόπορτα λαμβάνει εντολές από τον διακομιστή και απαντά με τα μεταφορτωμένα αποτελέσματα.

Όταν το PowerMagic πραγματοποιεί με επιτυχία μια σύνδεση με τον διακομιστή C&C, έχει τη δυνατότητα να εκτελεί αυθαίρετες εντολές. Τα αποτελέσματα αυτών των εντολών που εκτελούνται εξάγονται σε υπηρεσίες cloud όπως το Dropbox και το Microsoft OneDrive.

Ωστόσο, ένα από τα κύρια καθήκοντα του PowerMagic είναι να παραδώσει το πλαίσιο CommonMagic επόμενου σταδίου στις μολυσμένες συσκευές. Το CommonMagic είναι ένα πιο περίπλοκο κακόβουλο εργαλείο ικανό να εκτελεί συγκεκριμένες εργασίες.