PowerMagic

Hiljutised uuringud on paljastanud uue küberspionaažikampaania, mis on suunatud valitsusasutustele ja teistele Ukraina piirkondades tegutsevatele organisatsioonidele, mis on praegu Venemaa poolt okupeeritud. See kampaania kasutab kahte erinevat ja varem tundmatut pahavara tüve, mis on saanud nimeks PowerMagic ja CommonMagic.

Ründajad kasutavad neid pahavara tüvesid Donetski, Luganski ja Krimmi piirkondades asuvate üksuste sihitud seadmete andmete röövimiseks. Selle spionaažikampaania sihtmärkide hulka kuuluvad valitsusasutused, samuti põllumajandus- ja transpordiorganisatsioonid.

Arvestades piirkonnas jätkuvat konflikti, tundub väga tõenäoline, et see viimane küberspionaažikampaania on osa suuremast Ukraina ja Venemaa vahelisest küberkonfliktist.

Ründajad kasutavad andmepüügimeile ja peibutusdokumente

Selle juhtumi taga olevad ründajad levitasid pahavara, kasutades andmepüügimeile, mis sisaldasid hüperlinki .zip-arhiivile, mida majutati pahatahtliku kavatsusega serveris.

Zip-arhiiv koosnes kahest failist: dokumendist, mis oli maskeeritud ametlikuks dekreediks – koos näidetega, sealhulgas teated Krimmi parlamendivalimistega või Donetski eelarve planeerimisega – ning pahatahtlikust .lnk-failist. Avamisel käivitab see .lnk-fail pahavara ja nakatab sihitud seadme.

Rünnaku algfaasis kasutasid häkkerid süsteemi tungimiseks PowerShellil põhinevat tagaust nimega PowerMagic.

PowerMagic on varustatud mitme ohustamise võimalusega

PowerMagici tagaukse edasisel uurimisel avastati, et tagaukse esmane osa loetakse failist, mis asub aadressil %APPDATA%\WinEventCom\config. Seejärel see fail dekrüpteeritakse lihtsa XOR-algoritmi abil.

Pärast dekrüpteerimist siseneb tagauks lõpmatusse ahelasse, mis suhtleb pidevalt oma määratud käsu- ja juhtimisserveriga. Seejärel saab tagauks serverilt käsud ja vastab üleslaaditud tulemustega.

Kui PowerMagic loob edukalt ühenduse C&C-serveriga, saab see käivitada suvalisi käske. Nende käivitatud käskude tulemused eksfiltreeritakse pilveteenustesse, nagu Dropbox ja Microsoft OneDrive.

PowerMagicu üks peamisi ülesandeid on aga järgmise etapi CommonMagic raamistiku tarnimine nakatunud seadmetesse. CommonMagic on keerulisem pahatahtlik tööriist, mis suudab täita konkreetseid ülesandeid.