PowerMagic
מחקר שנערך לאחרונה חשף קמפיין ריגול סייבר חדש שמכוון לסוכנויות ממשלתיות וארגונים אחרים הפועלים באזורים של אוקראינה שנכבשים כיום על ידי רוסיה. מסע פרסום זה משתמש בשני זני תוכנות זדוניות ברורות ולא ידועות בעבר, אשר זכו לכינוי PowerMagic ו-CommonMagic.
התוקפים משתמשים בזנים אלה של תוכנות זדוניות כדי לגנוב נתונים מהמכשירים הממוקדים השייכים לישויות הממוקמות באזורי דונייצק, לוגנסק וקרים. היעדים של קמפיין הריגול הזה כוללים סוכנויות ממשלתיות, כמו גם ארגוני חקלאות ותחבורה.
נראה סביר מאוד שמסע ריגול הסייבר האחרון הוא חלק מסכסוך הסייבר הגדול יותר בין אוקראינה לרוסיה, בהתחשב בסכסוך המתמשך באזור.
התוקפים משתמשים בדוא"ל פישינג ובמסמכי פיתוי
התוקפים שמאחורי התקרית הפיצו תוכנה זדונית על ידי שימוש בדוא"ל דיוג, שהכיל היפר קישור לארכיון .zip שהתארח בשרת עם כוונות זדוניות.
ארכיון ה-zip הורכב משני קבצים: מסמך שהוסווה להופיע כצו רשמי - עם דוגמאות כולל הודעות הקשורות לבחירות לפרלמנט בחצי האי קרים או תכנון תקציבי בדונייצק - וכן קובץ lnk זדוני. עם פתיחתו, קובץ lnk זה יגרום לתוכנה זדונית ולהדביק את המכשיר הממוקד.
בשלב הראשוני של המתקפה, ההאקרים השתמשו בדלת אחורית מבוססת PowerShell בשם PowerMagic כדי לחדור למערכת.
PowerMagic מצויד ביכולות מאיימות מרובות
לאחר בדיקה נוספת של הדלת האחורית של PowerMagic, התגלה שהקטע הראשי של הדלת האחורית נקרא מהקובץ שנמצא ב-%APPDATA%\WinEventCom\config. קובץ זה מפוענח לאחר מכן באמצעות אלגוריתם XOR פשוט.
לאחר הפענוח, הדלת האחורית נכנסת ללולאה אינסופית המתקשרת ברציפות עם שרת ה-Command and Control (C&C) הייעודי שלו. לאחר מכן הדלת האחורית מקבלת פקודות מהשרת ומגיבה בתוצאות שהועלו.
כאשר PowerMagic יוצרת בהצלחה חיבור עם שרת C&C, יש לה את היכולת לבצע פקודות שרירותיות. התוצאות של הפקודות המבוצעות הללו מועברות לשירותי ענן כגון Dropbox ו- Microsoft OneDrive.
עם זאת, אחת המשימות העיקריות של PowerMagic היא לספק את המסגרת של CommonMagic בשלב הבא למכשירים הנגועים. CommonMagic הוא כלי זדוני מסובך יותר המסוגל לבצע משימות ספציפיות.
