पॉवरमैजिक
हाल के शोध ने एक नए साइबर जासूसी अभियान का पर्दाफाश किया है जिसका उद्देश्य सरकारी एजेंसियों और यूक्रेन के उन क्षेत्रों के भीतर काम करने वाले अन्य संगठन हैं जो वर्तमान में रूस के कब्जे में हैं। यह अभियान दो अलग-अलग और पहले के अज्ञात मैलवेयर स्ट्रेन का उपयोग करता है, जिन्हें PowerMagic और CommonMagic करार दिया गया है।
हमलावर डोनेट्स्क, लुगांस्क और क्रीमिया क्षेत्रों में स्थित संस्थाओं से संबंधित लक्षित उपकरणों से डेटा चोरी करने के लिए मैलवेयर के इन प्रकारों का उपयोग करते हैं। इस जासूसी अभियान के लक्ष्यों में सरकारी एजेंसियां, साथ ही कृषि और परिवहन संगठन शामिल हैं।
इस क्षेत्र में चल रहे संघर्ष को देखते हुए, यह अत्यधिक संभावना प्रतीत होती है कि यह नवीनतम साइबर जासूसी अभियान यूक्रेन और रूस के बीच बड़े साइबर संघर्ष का हिस्सा है।
हमलावर फ़िशिंग ईमेल और नकली दस्तावेज़ों का उपयोग करते हैं
इस घटना के पीछे हमलावरों ने फ़िशिंग ईमेल का उपयोग करके मैलवेयर का प्रसार किया, जिसमें एक .zip संग्रह के लिए एक हाइपरलिंक शामिल था जो दुर्भावनापूर्ण मंशा वाले सर्वर पर होस्ट किया गया था।
.zip संग्रह दो फ़ाइलों से बना था: एक दस्तावेज़ जिसे एक आधिकारिक डिक्री के रूप में प्रदर्शित करने के लिए प्रच्छन्न किया गया था - उदाहरण के साथ क्रीमिया में संसदीय चुनावों से संबंधित अधिसूचनाएं या डोनेट्स्क में बजट योजना - साथ ही एक दुर्भावनापूर्ण .lnk फ़ाइल। खोले जाने पर, यह .lnk फ़ाइल मैलवेयर आरंभ करेगी और लक्षित डिवाइस को संक्रमित करेगी।
हमले के शुरुआती चरण में, हैकर्स ने सिस्टम में घुसपैठ करने के लिए PowerMagic नामक एक PowerShell-आधारित बैकडोर का उपयोग किया।
PowerMagic कई खतरनाक क्षमताओं से लैस है
PowerMagic पिछले दरवाजे की और जांच करने पर, यह पता चला कि पिछले दरवाजे के प्राथमिक खंड को %APPDATA%\WinEventCom\config पर स्थित फ़ाइल से पढ़ा जाता है। यह फ़ाइल तब एक साधारण XOR एल्गोरिथम के उपयोग के माध्यम से डिक्रिप्ट की जाती है।
डिक्रिप्शन के बाद, पिछला दरवाजा एक अनंत लूप में प्रवेश करता है जो लगातार अपने निर्दिष्ट कमांड और कंट्रोल (सी एंड सी) सर्वर के साथ संचार करता है। बैकडोर तब सर्वर से कमांड प्राप्त करता है और अपलोड किए गए परिणामों के साथ प्रतिक्रिया करता है।
जब PowerMagic C&C सर्वर के साथ सफलतापूर्वक एक कनेक्शन स्थापित करता है, तो इसमें मनमाने आदेशों को निष्पादित करने की क्षमता होती है। इन निष्पादित आदेशों के परिणाम क्लाउड सेवाओं जैसे ड्रॉपबॉक्स और माइक्रोसॉफ्ट वनड्राइव में बहिष्कृत किए गए हैं।
हालाँकि, PowerMagic के मुख्य कार्यों में से एक संक्रमित उपकरणों को अगले चरण के CommonMagic ढांचे को वितरित करना है। CommonMagic विशिष्ट कार्यों को करने में सक्षम एक अधिक जटिल दुर्भावनापूर्ण उपकरण है।
