CommonMagic
محققان Infosec موفق به شناسایی یک کمپین حمله با استفاده از یک چارچوب بدافزار ناشناخته قبلی علیه سازمانهایی از بخشهای کلیدی در اوکراین شدهاند که به وضوح نشان میدهد که جنگ سایبری همچنان به عنوان بخشی از جنگ بازی میکند. سازمانهای مورد نظر در بخشهای دولتی، کشاورزی و حملونقل فعالیت میکنند و در مناطق دونتسک، لوگانسک و کریمه قرار دارند.
این حملات شامل یک چارچوب مدولار جدید به نام CommonMagic است که قبلاً دیده نشده بود. به نظر میرسد این چارچوب برای نفوذ و مختل کردن سازمانهای هدف طراحی شده است که به طور بالقوه اطلاعات حساس را به خطر میاندازد و زیرساختهای حیاتی را مختل میکند. هنوز مشخص نیست که چه کسی مسئول این حملات است یا اهداف نهایی آنها ممکن است چیست. این وضعیت ادامه دارد و سازمان ها در مناطق آسیب دیده باید اقداماتی را برای ایمن سازی شبکه ها و سیستم های خود در برابر تهدیدات احتمالی انجام دهند.
یک زنجیره حمله پیچیده بدافزار CommonMagic را ارائه می دهد
به گفته محققان، بردار سازش اولیه دقیق مشخص نیست. با این حال، جزئیات مرحله بعدی حمله نشان می دهد که فیشینگ نیزه یا تکنیک های مشابه ممکن است توسط عوامل تهدید استفاده شود.
این حملات از یک الگوی خاص پیروی می کنند که در آن یک URL مخرب به قربانیان ارائه می شود و برای هدایت آنها به آرشیو ZIP میزبانی شده بر روی یک وب سرور در معرض خطر استفاده می شود. هنگامی که فایل ZIP تحویل داده شده باز می شود، حاوی یک سند فریبنده و یک فایل LNK مخرب است. در مرحله بعدی حمله، یک درب پشتی به نام PowerMagic بر روی دستگاه های شکسته شده مستقر می شود. درپشتی به مهاجم اجازه می دهد تا به رایانه قربانی دسترسی پیدا کند و فعالیت های مخرب مختلفی را انجام دهد، اما هدف اصلی آن واکشی و استقرار چارچوب بدافزار CommonMagic است که یک قطعه بسیار تخصصی تر از نرم افزار مخرب است.
CommonMagic - یک چارچوب تهدیدآمیز که قبلا دیده نشده بود
تمام قربانیانی که تحت تأثیر بدافزار PowerMagic قرار گرفتهاند، به یک چارچوب مخرب بسیار پیچیدهتر و پیچیدهتر آلوده شدهاند که CommonMagic نامیده میشود. CommonMagic شامل ماژول های اجرایی مختلفی است که همگی در دایرکتوری واقع در C:\ProgramData\CommonCommand ذخیره می شوند. هر ماژول به عنوان یک فایل اجرایی مستقل شروع می شود و از طریق لوله های نامگذاری شده با بقیه ارتباط برقرار می کند. ماژول ها به طور خاص برای ارتباط با سرور Command and Control (C&C)، رمزگذاری و رمزگشایی ترافیک C&C و انجام چندین عملیات مخرب طراحی شده اند.
دو مورد از ماژولهایی که تا به امروز کشف شدهاند، مجهز به قابلیت گرفتن اسکرینشات در فواصل سه ثانیهای و بازیابی فایلهای مورد علاقه از هر دستگاه USB متصل هستند. این فریم ورک از پوشه های راه دور OneDrive برای انتقال داده ها استفاده می کند و هر داده ای که بین مهاجم و قربانی از طریق OneDrive رد و بدل می شود با استفاده از کتابخانه منبع باز RC5Simple رمزگذاری می شود.