CommonMagic

Istraživači tvrtke Infosec uspjeli su identificirati kampanju napada koristeći prethodno nepoznat okvir zlonamjernog softvera protiv organizacija iz ključnih sektora u Ukrajini, jasno ukazujući na aktivnu ulogu koju kibernetičko ratovanje nastavlja igrati kao dio rata. Ciljane organizacije djeluju u državnim, poljoprivrednim i transportnim sektorima i nalaze se u regijama Donjeck, Lugansk i Krim.

Ovi napadi uključuju novi modularni okvir nazvan CommonMagic, koji dosad nije viđen. Čini se da je okvir dizajniran za infiltraciju i ometanje ciljanih organizacija, potencijalno ugrožavajući osjetljive informacije i ometajući kritičnu infrastrukturu. Još uvijek nije jasno tko je odgovoran za ove napade niti koji bi im mogli biti krajnji ciljevi. Situacija je u tijeku i organizacije u pogođenim područjima trebaju poduzeti korake kako bi osigurale svoje mreže i sustave od potencijalnih prijetnji.

Složeni lanac napada isporučuje zlonamjerni softver CommonMagic

Prema istraživačima, točan početni vektor kompromisa nije jasan. Međutim, pojedinosti o sljedećoj fazi napada pokazuju da akteri prijetnje mogu koristiti spear phishing ili slične tehnike.

Napadi slijede određeni obrazac gdje se zlonamjerni URL prikazuje žrtvama i koristi da ih odvede do ZIP arhive koja se nalazi na kompromitiranom web poslužitelju. Kada se isporučena ZIP datoteka otvori, ona sadrži dokument mamac i zlonamjernu LNK datoteku. U sljedećoj fazi napada, backdoor nazvan PowerMagic postavlja se na provaljene uređaje. Backdoor omogućuje napadaču pristup žrtvinom računalu i izvođenje raznih zlonamjernih aktivnosti, ali njegova glavna svrha je dohvaćanje i implementacija CommonMagic malware frameworka, daleko specijaliziranijeg zlonamjernog softvera.

CommonMagic - do sada neviđen prijeteći okvir

Otkriveno je da su sve žrtve na koje je utjecao zlonamjerni softver PowerMagic bile zaražene mnogo zamršenijim i sofisticiranijim zlonamjernim okvirom, koji je nazvan CommonMagic. CommonMagic se sastoji od različitih izvršnih modula, a svi su pohranjeni u direktoriju koji se nalazi na C:\ProgramData\CommonCommand. Svaki modul pokreće se kao neovisna izvršna datoteka i komunicira s ostalima putem imenovanih cijevi. Moduli su posebno dizajnirani za komunikaciju s Command and Control (C&C) poslužiteljem, enkripciju i dešifriranje C&C prometa i izvođenje nekoliko zlonamjernih radnji.

Dva do danas otkrivena modula opremljena su mogućnostima snimanja snimki zaslona u intervalima od tri sekunde i dohvaćanja zanimljivih datoteka s bilo kojeg USB uređaja koji je povezan. Okvir koristi OneDrive udaljene mape za prijenos podataka, a svi podaci razmijenjeni između napadača i žrtve putem OneDrivea šifrirani su pomoću biblioteke otvorenog koda RC5Simple.