PowerMagic
تحقیقات اخیر یک کمپین جدید جاسوسی سایبری را نشان داده است که هدف آن سازمانهای دولتی و سایر سازمانهای فعال در مناطق اوکراین است که در حال حاضر توسط روسیه اشغال شده است. این کمپین از دو نوع بدافزار مجزا و ناشناخته استفاده میکند که PowerMagic و CommonMagic نامیده میشوند.
مهاجمان از این گونههای بدافزار برای سرقت دادهها از دستگاههای هدف متعلق به نهادهای واقع در مناطق دونتسک، لوگانسک و کریمه استفاده میکنند. اهداف این کمپین جاسوسی شامل سازمان های دولتی و همچنین سازمان های کشاورزی و حمل و نقل است.
به نظر می رسد با توجه به درگیری های جاری در منطقه، این کمپین جاسوسی سایبری اخیر، بخشی از درگیری سایبری بزرگتر بین اوکراین و روسیه باشد.
مهاجمان از ایمیل های فیشینگ و اسناد فریب استفاده می کنند
مهاجمان پشت این حادثه بدافزار را با استفاده از ایمیلهای فیشینگ منتشر کردند که حاوی یک لینک به یک آرشیو .zip بود که روی سروری میزبانی میشد که دارای اهداف مخرب بود.
آرشیو .zip از دو فایل تشکیل شده بود: سندی که به عنوان یک فرمان رسمی پنهان شده بود - با نمونه هایی از جمله اعلان های مربوط به انتخابات پارلمانی کریمه یا برنامه ریزی بودجه در دونتسک - و همچنین یک فایل مخرب .lnk. پس از باز شدن، این فایل .lnk بدافزار را راه اندازی می کند و دستگاه مورد نظر را آلوده می کند.
در مرحله اولیه حمله، هکرها از یک درب پشتی مبتنی بر PowerShell به نام PowerMagic برای نفوذ به سیستم استفاده کردند.
PowerMagic به چندین قابلیت تهدید کننده مجهز شده است
با بررسی بیشتر درب پشتی PowerMagic، مشخص شد که بخش اصلی درب پشتی از فایلی که در %APPDATA%\WinEventCom\config قرار دارد خوانده میشود. این فایل سپس با استفاده از یک الگوریتم ساده XOR رمزگشایی می شود.
پس از رمزگشایی، درب پشتی وارد یک حلقه بی نهایت می شود که به طور مداوم با سرور فرماندهی و کنترل (C&C) تعیین شده خود در ارتباط است. سپس درب پشتی دستورات را از سرور دریافت می کند و با نتایج آپلود شده پاسخ می دهد.
هنگامی که PowerMagic با موفقیت با سرور C&C ارتباط برقرار می کند، این قابلیت را دارد که دستورات دلخواه را اجرا کند. نتایج این دستورات اجرا شده به سرویس های ابری مانند Dropbox و Microsoft OneDrive منتقل می شود.
با این حال، یکی از وظایف اصلی PowerMagic ارائه چارچوب CommonMagic مرحله بعدی به دستگاه های آلوده است. CommonMagic یک ابزار مخرب پیچیده تر است که قادر به انجام وظایف خاص است.
