CommonMagic

Infoseci teadlastel on õnnestunud tuvastada ründekampaania, mis kasutas varem tundmatut pahavararaamistikku Ukraina võtmesektorite organisatsioonide vastu, mis näitab selgelt kübersõja aktiivset osa sõjas. Sihtorganisatsioonid tegutsevad valitsus-, põllumajandus- ja transpordisektoris ning asuvad Donetski, Luganski ja Krimmi piirkondades.

Need rünnakud hõlmavad uut modulaarset raamistikku nimega CommonMagic, mida pole varem nähtud. Raamistik näib olevat loodud sihtorganisatsioonide imbumiseks ja nende tegevuse häirimiseks, mis võib ohustada tundlikku teavet ja häirida kriitilist infrastruktuuri. Veel pole selge, kes nende rünnakute eest vastutab või mis võivad olla nende lõppeesmärgid. Olukord jätkub ja mõjutatud piirkondade organisatsioonid peaksid astuma samme, et kaitsta oma võrke ja süsteeme võimalike ohtude eest.

Kompleksne rünnakuahel pakub CommonMagic pahavara

Teadlaste sõnul on täpne esialgne kompromissivektor ebaselge. Rünnaku järgmise etapi üksikasjad näitavad aga, et ohus osalejad võivad kasutada andmepüügi või sarnaseid võtteid.

Rünnakud järgivad kindlat mustrit, kus ohvritele esitatakse pahatahtlik URL, mida kasutatakse ohustatud veebiserveris majutatud ZIP-arhiivi suunamiseks. Kui tarnitud ZIP-fail avatakse, sisaldab see peibutusdokumenti ja pahatahtlikku LNK-faili. Rünnaku järgmises faasis rakendatakse rikutud seadmetele PowerMagici nimeline tagauks. Tagauks võimaldab ründajal pääseda ligi ohvri arvutile ja sooritada erinevaid pahatahtlikke tegevusi, kuid selle põhieesmärk on tuua ja juurutada CommonMagic pahavararaamistik, mis on palju spetsiifilisem ründetarkvara.

CommonMagic – varem nähtamatu ähvardav raamistik

Avastati, et kõik PowerMagici pahavara mõjutatud ohvrid on nakatunud palju keerukama ja keerukama pahatahtliku raamistikuga, mis on saanud nimeks CommonMagic. CommonMagic sisaldab erinevaid käivitatavaid mooduleid, mis kõik on salvestatud kataloogi, mis asub aadressil C:\ProgramData\CommonCommand. Iga moodul käivitub iseseisva käivitatava failina ja suhtleb teistega nimega torude kaudu. Moodulid on spetsiaalselt loodud suhtlemiseks Command and Control (C&C) serveriga, C&C liikluse krüptimiseks ja dekrüpteerimiseks ning mitmete pahatahtlike toimingute tegemiseks.

Kaks praeguseks avastatud moodulit on varustatud võimalustega jäädvustada ekraanipilte kolmesekundiliste intervallidega ja hankida huvipakkuvaid faile kõigist ühendatud USB-seadmetest. Raamistik kasutab andmete edastamiseks OneDrive'i kaugkaustu ning kõik OneDrive'i kaudu ründaja ja ohvri vahel vahetatavad andmed krüpteeritakse avatud lähtekoodiga teegi RC5Simple abil.