कॉमनमैजिक
Infosec के शोधकर्ताओं ने यूक्रेन में प्रमुख क्षेत्रों के संगठनों के खिलाफ पहले अज्ञात मैलवेयर ढांचे का उपयोग करके एक हमले के अभियान की पहचान करने में कामयाबी हासिल की है, जो स्पष्ट रूप से सक्रिय भाग का संकेत देता है कि युद्ध के हिस्से के रूप में साइबर युद्ध जारी है। लक्षित संगठन सरकार, कृषि और परिवहन क्षेत्रों में काम करते हैं और डोनेट्स्क, लुगांस्क और क्रीमिया क्षेत्रों में स्थित हैं।
इन हमलों में कॉमनमैजिक नामक एक नया मॉड्यूलर ढांचा शामिल है, जिसे पहले नहीं देखा गया है। ऐसा प्रतीत होता है कि रूपरेखा को लक्षित संगठनों में घुसपैठ करने और बाधित करने के लिए डिज़ाइन किया गया है, संभावित रूप से संवेदनशील जानकारी से समझौता करने और महत्वपूर्ण बुनियादी ढांचे को बाधित करने के लिए। यह अभी तक स्पष्ट नहीं है कि इन हमलों के लिए कौन जिम्मेदार है या उनके अंतिम लक्ष्य क्या हो सकते हैं। स्थिति जारी है, और प्रभावित क्षेत्रों में संगठनों को संभावित खतरों के खिलाफ अपने नेटवर्क और सिस्टम को सुरक्षित करने के लिए कदम उठाने चाहिए।
एक जटिल अटैक चेन CommonMagic मैलवेयर डिलीवर करती है
शोधकर्ताओं के अनुसार, सटीक प्रारंभिक समझौता वेक्टर स्पष्ट नहीं है। हालांकि, हमले के अगले चरण के विवरण से संकेत मिलता है कि भाला फ़िशिंग या इसी तरह की तकनीकों का इस्तेमाल खतरे के अभिनेताओं द्वारा किया जा सकता है।
हमले एक विशिष्ट पैटर्न का पालन करते हैं जहां पीड़ितों को एक दुर्भावनापूर्ण यूआरएल प्रस्तुत किया जाता है और उन्हें एक समझौता किए गए वेब सर्वर पर होस्ट किए गए ज़िप संग्रह में ले जाने के लिए उपयोग किया जाता है। जब वितरित ज़िप फ़ाइल खोली जाती है, तो इसमें एक डिकॉय दस्तावेज़ और एक दुर्भावनापूर्ण LNK फ़ाइल होती है। हमले के अगले चरण में, पावरमैजिक नामक एक पिछले दरवाजे को भंग उपकरणों पर तैनात किया जाता है। पिछले दरवाजे से हमलावर को पीड़ित के कंप्यूटर तक पहुंच प्राप्त करने और विभिन्न दुर्भावनापूर्ण गतिविधियों को अंजाम देने की अनुमति मिलती है, लेकिन इसका मुख्य उद्देश्य कॉमनमैजिक मालवेयर फ्रेमवर्क को लाना और तैनात करना है, जो दुर्भावनापूर्ण सॉफ़्टवेयर का एक अधिक विशिष्ट टुकड़ा है।
कॉमनमैजिक - पहले न देखा गया खतरनाक ढांचा
PowerMagic मैलवेयर से प्रभावित सभी पीड़ितों को अधिक जटिल और परिष्कृत दुर्भावनापूर्ण ढांचे से संक्रमित पाया गया है, जिसे CommonMagic करार दिया गया है। CommonMagic में विभिन्न निष्पादन योग्य मॉड्यूल शामिल हैं, जिनमें से सभी C:\ProgramData\CommonCommand पर स्थित एक निर्देशिका में संग्रहीत हैं। प्रत्येक मॉड्यूल एक स्वतंत्र निष्पादन योग्य फ़ाइल के रूप में आरंभ होता है और नामित पाइपों के माध्यम से दूसरों के साथ संचार करता है। मॉड्यूल विशेष रूप से कमांड एंड कंट्रोल (C&C) सर्वर के साथ संचार, C&C ट्रैफिक के एन्क्रिप्शन और डिक्रिप्शन, और कई दुर्भावनापूर्ण कार्यों को करने के लिए डिज़ाइन किए गए हैं।
तिथि करने के लिए खोजे गए दो मॉड्यूल तीन-सेकंड अंतराल पर स्क्रीनशॉट कैप्चर करने और कनेक्ट किए गए किसी भी यूएसबी डिवाइस से रुचि की फाइलों को पुनर्प्राप्त करने की क्षमताओं से लैस हैं। डेटा ट्रांसपोर्ट करने के लिए फ्रेमवर्क वनड्राइव रिमोट फ़ोल्डर्स का उपयोग करता है, और वनड्राइव के माध्यम से हमलावर और पीड़ित के बीच आदान-प्रदान किए गए किसी भी डेटा को RC5Simple ओपन-सोर्स लाइब्रेरी का उपयोग करके एन्क्रिप्ट किया जाता है।
