PowerMagic

A közelmúltban végzett kutatások egy új kiberkémkedési kampányt tártak fel, amely Ukrajna jelenleg Oroszország által megszállt régióiban működő kormányzati szerveket és más szervezeteket célozza meg. Ez a kampány két különálló és korábban ismeretlen rosszindulatú programtörzset használ, amelyek a PowerMagic és a CommonMagic nevet kapták.

A támadók a rosszindulatú programok ezen törzseit használják arra, hogy adatokat lopjanak el a Donyeck, Lugansk és Krím régiókban található entitásokhoz tartozó megcélzott eszközökről. Ennek a kémkampánynak a célpontjai közé tartoznak a kormányzati szervek, valamint a mezőgazdasági és közlekedési szervezetek.

Nagyon valószínűnek tűnik, hogy ez a legutóbbi kiberkémkampány része az Ukrajna és Oroszország közötti nagyobb kiberkonfliktusnak, tekintettel a térségben zajló konfliktusra.

A támadók adathalász e-maileket és csalidokumentumokat használnak

Az incidens mögött meghúzódó támadók adathalász e-mailek segítségével terjesztettek rosszindulatú programokat, amelyek egy rosszindulatú szerveren tárolt .zip archívumra mutató hivatkozást tartalmaztak.

A .zip archívum két fájlból állt: egy dokumentumból, amelyet hivatalos rendeletnek álcáztak – példákkal a krími parlamenti választásokkal vagy a donyecki költségvetési tervezéssel kapcsolatos értesítésekkel –, valamint egy rosszindulatú .lnk fájlból. Megnyitáskor ez az .lnk fájl elindítja a rosszindulatú programot, és megfertőzi a megcélzott eszközt.

A támadás kezdeti szakaszában a hackerek egy PowerMagic nevű PowerShell-alapú hátsó ajtót használtak a rendszerbe való behatoláshoz.

A PowerMagic többféle fenyegető képességgel van felszerelve

A PowerMagic hátsó ajtó további vizsgálata során kiderült, hogy a hátsó ajtó elsődleges része a %APPDATA%\WinEventCom\config címen található fájlból olvasható ki. Ezt a fájlt egy egyszerű XOR algoritmus segítségével dekódolják.

A visszafejtés után a hátsó ajtó egy végtelen hurokba lép, amely folyamatosan kommunikál a kijelölt Command and Control (C&C) szerverével. A hátsó ajtó ezután parancsokat kap a szervertől, és a feltöltött eredményekkel válaszol.

Amikor a PowerMagic sikeresen létrehozza a kapcsolatot a C&C szerverrel, képes tetszőleges parancsok végrehajtására. A végrehajtott parancsok eredményei a felhőszolgáltatásokba, például a Dropboxba és a Microsoft OneDrive-ba kerülnek.

A PowerMagic egyik fő feladata azonban az, hogy a CommonMagic következő fázisát szállítsa a fertőzött eszközökre. A CommonMagic egy bonyolultabb rosszindulatú eszköz, amely bizonyos feladatok elvégzésére képes.