CommonMagic
Infosecin tutkijat ovat onnistuneet tunnistamaan hyökkäyskampanjan, jossa käytetään aiemmin tuntematonta haittaohjelmakehystä Ukrainan avainalojen organisaatioita vastaan, mikä osoittaa selvästi kybersodankäynnin jatkuvan aktiivisen osuuden osana sotaa. Kohdeorganisaatiot toimivat valtion, maatalouden ja liikenteen aloilla ja sijaitsevat Donetskin, Luganskin ja Krimin alueilla.
Näihin hyökkäyksiin liittyy uusi modulaarinen kehys nimeltä CommonMagic, jota ei ole ennen nähty. Kehys näyttää olevan suunniteltu soluttautumaan kohdeorganisaatioihin ja häiritsemään niitä, mikä saattaa vaarantaa arkaluonteisia tietoja ja häiritä kriittistä infrastruktuuria. Vielä ei ole selvää, kuka on vastuussa näistä hyökkäyksistä tai mitkä niiden lopulliset tavoitteet voivat olla. Tilanne jatkuu, ja vaikutusalueen organisaatioiden tulee ryhtyä toimiin turvatakseen verkkonsa ja järjestelmänsä mahdollisia uhkia vastaan.
Monimutkainen hyökkäysketju toimittaa CommonMagic-haittaohjelman
Tutkijoiden mukaan tarkka alkuperäinen kompromissivektori on epäselvä. Hyökkäyksen seuraavan vaiheen yksityiskohdat viittaavat kuitenkin siihen, että uhkatoimijat voivat käyttää keihään tietojenkalastelua tai vastaavia tekniikoita.
Hyökkäykset noudattavat tiettyä kaavaa, jossa haitallinen URL-osoite esitetään uhreille, ja sitä käytetään ohjaamaan heidät ZIP-arkistoon, jota isännöidään vaarantuneella verkkopalvelimella. Kun toimitettu ZIP-tiedosto avataan, se sisältää houkutusasiakirjan ja haitallisen LNK-tiedoston. Hyökkäyksen seuraavassa vaiheessa rikottujen laitteiden päälle otetaan käyttöön PowerMagic-niminen takaovi. Takaoven avulla hyökkääjä pääsee käsiksi uhrin tietokoneelle ja suorittaa erilaisia haitallisia toimintoja, mutta sen päätarkoituksena on hakea ja ottaa käyttöön CommonMagic-haittaohjelmakehys, paljon erikoisempi haittaohjelmisto.
CommonMagic – Ennennäkemätön uhkaava kehys
Kaikkien PowerMagic -haittaohjelmien uhrien on havaittu saaneen paljon monimutkaisemman ja kehittyneemmän haittaohjelman, joka on nimetty CommonMagiksi. CommonMagic koostuu useista suoritettavista moduuleista, jotka kaikki on tallennettu hakemistoon C:\ProgramData\CommonCommand. Jokainen moduuli alkaa itsenäisenä suoritettavana tiedostona ja kommunikoi muiden kanssa nimettyjen putkien kautta. Moduulit on erityisesti suunniteltu kommunikointiin Command and Control (C&C) -palvelimen kanssa, C&C-liikenteen salaukseen ja salauksen purkamiseen sekä useiden haitallisten toimien suorittamiseen.
Kaksi tähän mennessä löydetyistä moduuleista on varustettu kyvyllä ottaa kuvakaappauksia kolmen sekunnin välein ja hakea kiinnostavia tiedostoja kaikista liitetyistä USB-laitteista. Kehys käyttää OneDrive-etäkansioita tiedon siirtämiseen, ja kaikki hyökkääjän ja uhrin välillä OneDriven kautta vaihdetut tiedot salataan avoimen lähdekoodin RC5Simple-kirjastolla.
