PowerMagic

Nedavno istraživanje razotkrilo je novu kampanju kibernetičke špijunaže koja je usmjerena na vladine agencije i druge organizacije koje djeluju u regijama Ukrajine koje je trenutno okupirala Rusija. Ova kampanja koristi dva različita i prethodno nepoznata tipa zlonamjernog softvera, koji su nazvani PowerMagic i CommonMagic.

Napadači koriste ove vrste zlonamjernog softvera za krađu podataka s ciljanih uređaja koji pripadaju subjektima koji se nalaze u regijama Donjeck, Lugansk i Krim. Mete ove špijunske kampanje uključuju vladine agencije, kao i poljoprivredne i transportne organizacije.

Čini se vrlo vjerojatnim da je ova posljednja kampanja kibernetičke špijunaže dio većeg kibernetičkog sukoba između Ukrajine i Rusije, s obzirom na tekući sukob u regiji.

Napadači koriste phishing e-poštu i lažne dokumente

Napadači koji stoje iza ovog incidenta širili su zlonamjerni softver korištenjem phishing e-pošte, koja je sadržavala hipervezu na .zip arhivu koja je bila smještena na poslužitelju koji je imao zlonamjerne namjere.

.zip arhiva sastojala se od dvije datoteke: dokumenta koji je bio maskiran da izgleda kao službeni dekret – s primjerima uključujući obavijesti u vezi s parlamentarnim izborima na Krimu ili planiranjem proračuna u Donjecku – kao i zlonamjerne .lnk datoteke. Nakon otvaranja, ova bi .lnk datoteka pokrenula zlonamjerni softver i zarazila ciljani uređaj.

U početnoj fazi napada, hakeri su koristili backdoor temeljen na PowerShell-u pod nazivom PowerMagic za infiltraciju u sustav.

PowerMagic je opremljen s višestrukim prijetećim mogućnostima

Nakon daljnjeg ispitivanja PowerMagic backdoor-a, otkriveno je da se primarni odjeljak backdoor-a čita iz datoteke koja se nalazi na %APPDATA%\WinEventCom\config. Ta se datoteka zatim dekriptira pomoću jednostavnog algoritma XOR.

Nakon dešifriranja, backdoor ulazi u beskonačnu petlju koja kontinuirano komunicira sa svojim određenim Command and Control (C&C) poslužiteljem. Backdoor tada prima naredbe od poslužitelja i odgovara učitanim rezultatima.

Kada PowerMagic uspješno uspostavi vezu s C&C poslužiteljem, ima mogućnost izvršavanja proizvoljnih naredbi. Rezultati ovih izvršenih naredbi eksfiltriraju se u usluge u oblaku kao što su Dropbox i Microsoft OneDrive.

Međutim, jedan od glavnih zadataka PowerMagica je isporuka sljedećeg stupnja CommonMagic okvira zaraženim uređajima. CommonMagic je složeniji zlonamjerni alat koji može obavljati specifične zadatke.