CommonMagic

Az Infosec kutatóinak sikerült azonosítaniuk egy korábban ismeretlen kártevő-keretrendszert használó támadási kampányt Ukrajna kulcsfontosságú szektorainak szervezetei ellen, ami egyértelműen jelzi, hogy a kiberhadviselés továbbra is aktív szerepet játszik a háborúban. A megcélzott szervezetek a kormányzati, a mezőgazdasági és a szállítási szektorban működnek, és a donyecki, luganszki és krími régiókban találhatók.

Ezek a támadások egy új, CommonMagic nevű moduláris keretrendszert érintenek, amelyre korábban nem volt példa. Úgy tűnik, hogy a keretrendszert úgy tervezték, hogy beszivárogjon a megcélzott szervezetekbe, és megzavarja azokat, potenciálisan veszélyeztetve az érzékeny információkat és megzavarva a kritikus infrastruktúrát. Egyelőre nem világos, hogy ki a felelős ezekért a támadásokért, és mik lehetnek a végső céljaik. A helyzet jelenleg is tart, és az érintett területek szervezeteinek lépéseket kell tenniük hálózataik és rendszereik védelme érdekében a potenciális fenyegetésekkel szemben.

Egy összetett támadási lánc szállítja a CommonMagic malware-t

A kutatók szerint a pontos kezdeti kompromisszum vektora nem világos. A támadás következő szakaszának részletei azonban azt jelzik, hogy a fenyegetés szereplői lándzsás adathalászat vagy hasonló technikákat alkalmazhatnak.

A támadások egy meghatározott mintát követnek, ahol egy rosszindulatú URL-t mutatnak be az áldozatoknak, és egy feltört webszerveren tárolt ZIP-archívumhoz vezetik őket. Amikor a kézbesített ZIP-fájlt megnyitják, az egy csalidokumentumot és egy rosszindulatú LNK-fájlt tartalmaz. A támadás következő fázisában a PowerMagic nevű hátsó ajtót telepítik a feltört eszközökre. A hátsó ajtó lehetővé teszi a támadó számára, hogy hozzáférjen az áldozat számítógépéhez, és különféle rosszindulatú tevékenységeket hajtson végre, de fő célja a CommonMagic malware keretrendszer lekérése és telepítése, amely egy sokkal speciálisabb rosszindulatú szoftver.

CommonMagic – Egy korábban nem látott fenyegető keret

Felfedezték, hogy a PowerMagic kártevő által érintett összes áldozat egy sokkal bonyolultabb és kifinomultabb rosszindulatú keretrendszerrel fertőződött meg, amely a CommonMagic nevet kapta. A CommonMagic különféle végrehajtható modulokat tartalmaz, amelyek mindegyike a C:\ProgramData\CommonCommand könyvtárban található. Minden modul független végrehajtható fájlként indul, és a többivel elnevezett csöveken keresztül kommunikál. A modulokat kifejezetten a Command and Control (C&C) szerverrel való kommunikációra, a C&C forgalom titkosítására és visszafejtésére, valamint számos rosszindulatú művelet végrehajtására tervezték.

Az eddig felfedezett modulok közül kettő olyan képességgel rendelkezik, hogy három másodperces időközönként képernyőképeket készítsen, és bármely csatlakoztatott USB-eszközről lehívja az érdeklődő fájlokat. A keretrendszer OneDrive távoli mappákat használ az adatok továbbítására, és a támadó és az áldozat között a OneDrive-on keresztül kicserélt adatokat az RC5Simple nyílt forráskódú könyvtár titkosítja.