PowerMagic

Viimeaikainen tutkimus on paljastanut uuden kybervakoilukampanjan, joka on suunnattu valtion virastoille ja muille organisaatioille, jotka toimivat Ukrainan tällä hetkellä Venäjän miehittämillä alueilla. Tämä kampanja käyttää kahta erillistä ja aiemmin tuntematonta haittaohjelmakantaa, jotka on nimetty PowerMagic- ja CommonMagic-nimikkeiksi.

Hyökkääjät käyttävät näitä haittaohjelmakantoja varastaakseen tietoja Donetskin, Luganskin ja Krimin alueilla sijaitsevien yksiköiden kohteena olevista laitteista. Tämän vakoilukampanjan kohteina ovat valtion virastot sekä maatalous- ja kuljetusjärjestöt.

Vaikuttaa erittäin todennäköiseltä, että tämä viimeisin kybervakoilukampanja on osa suurempaa kyberkonfliktia Ukrainan ja Venäjän välillä, kun otetaan huomioon alueella käynnissä oleva konflikti.

Hyökkääjät käyttävät tietojenkalasteluviestejä ja houkutusasiakirjoja

Tämän tapahtuman takana olevat hyökkääjät levittivät haittaohjelmia käyttämällä phishing-sähköpostiviestejä, jotka sisälsivät hyperlinkin .zip-arkistoon, joka oli palvelimella, jolla oli haitallinen tarkoitus.

.zip-arkisto koostui kahdesta tiedostosta: asiakirjasta, joka oli naamioitu näyttämään viralliseksi asetukseksi – ja esimerkkejä muun muassa Krimin parlamenttivaaleista tai Donetskin budjettisuunnittelusta – sekä haitallisesta .lnk-tiedostosta. Avattaessa tämä .lnk-tiedosto käynnistää haittaohjelman ja saastuttaa kohteena olevan laitteen.

Hyökkäyksen alkuvaiheessa hakkerit käyttivät PowerShell-pohjaista takaovea nimeltä PowerMagic soluttautuakseen järjestelmään.

PowerMagic on varustettu useilla uhkaamisominaisuuksilla

PowerMagic-takaoven lisätutkimuksessa havaittiin, että takaoven ensisijainen osa luetaan tiedostosta, joka sijaitsee osoitteessa %APPDATA%\WinEventCom\config. Tämän tiedoston salaus puretaan sitten käyttämällä yksinkertaista XOR-algoritmia.

Salauksen purkamisen jälkeen takaovi siirtyy äärettömään silmukkaan, joka kommunikoi jatkuvasti sen nimetyn Command and Control (C&C) -palvelimen kanssa. Takaovi vastaanottaa sitten komennot palvelimelta ja vastaa ladatuilla tuloksilla.

Kun PowerMagic muodostaa onnistuneesti yhteyden C&C-palvelimeen, se pystyy suorittamaan mielivaltaisia komentoja. Näiden suoritettujen komentojen tulokset suodatetaan pilvipalveluihin, kuten Dropbox ja Microsoft OneDrive.

Yksi PowerMagicin päätehtävistä on kuitenkin toimittaa seuraavan vaiheen CommonMagic- kehys tartunnan saaneille laitteille. CommonMagic on monimutkaisempi haitallinen työkalu, joka pystyy suorittamaan tiettyjä tehtäviä.