Magia comune

I ricercatori di Infosec sono riusciti a identificare una campagna di attacco utilizzando un framework di malware precedentemente sconosciuto contro organizzazioni di settori chiave in Ucraina, indicando chiaramente il ruolo attivo che la guerra informatica continua a svolgere come parte della guerra. Le organizzazioni prese di mira operano nei settori del governo, dell'agricoltura e dei trasporti e si trovano nelle regioni di Donetsk, Lugansk e Crimea.

Questi attacchi coinvolgono un nuovo framework modulare chiamato CommonMagic, che non è mai stato visto prima. Il framework sembra essere progettato per infiltrarsi e interrompere le organizzazioni prese di mira, compromettendo potenzialmente informazioni sensibili e interrompendo l'infrastruttura critica. Non è ancora chiaro chi sia il responsabile di questi attacchi o quali possano essere i loro obiettivi finali. La situazione è in corso e le organizzazioni nelle aree colpite dovrebbero adottare misure per proteggere le proprie reti e sistemi da potenziali minacce.

Una complessa catena di attacchi fornisce il malware CommonMagic

Secondo i ricercatori, l'esatto vettore di compromesso iniziale non è chiaro. Tuttavia, i dettagli della fase successiva dell'attacco indicano che gli autori delle minacce potrebbero utilizzare lo spear phishing o tecniche simili.

Gli attacchi seguono uno schema specifico in cui un URL dannoso viene presentato alle vittime e utilizzato per condurle a un archivio ZIP ospitato su un server Web compromesso. Quando il file ZIP consegnato viene aperto, contiene un documento esca e un file LNK dannoso. Nella fase successiva dell'attacco, una backdoor denominata PowerMagic viene implementata sui dispositivi violati. La backdoor consente all'attaccante di ottenere l'accesso al computer della vittima e svolgere varie attività dannose, ma il suo scopo principale è recuperare e distribuire il framework malware CommonMagic, un software dannoso molto più specializzato.

CommonMagic - Un framework minaccioso mai visto prima

È stato scoperto che tutte le vittime colpite dal malware PowerMagic sono state infettate da un framework dannoso molto più complesso e sofisticato, che è stato soprannominato CommonMagic. CommonMagic comprende vari moduli eseguibili, tutti archiviati in una directory situata in C:\ProgramData\CommonCommand. Ogni modulo si avvia come un file eseguibile indipendente e comunica con gli altri tramite named pipe. I moduli sono specificamente progettati per la comunicazione con il server Command and Control (C&C), la crittografia e la decrittografia del traffico C&C e l'esecuzione di diverse azioni dannose.

Due dei moduli scoperti fino ad oggi sono dotati della capacità di acquisire schermate a intervalli di tre secondi e di recuperare file di interesse da qualsiasi dispositivo USB connesso. Il framework utilizza le cartelle remote di OneDrive per trasportare i dati e tutti i dati scambiati tra l'aggressore e la vittima tramite OneDrive vengono crittografati utilizzando la libreria open source RC5Simple.