PowerMagic

Una recente ricerca ha rivelato una nuova campagna di spionaggio informatico rivolta alle agenzie governative e ad altre organizzazioni che operano nelle regioni dell'Ucraina attualmente occupate dalla Russia. Questa campagna utilizza due ceppi di malware distinti e precedentemente sconosciuti, che sono stati soprannominati PowerMagic e CommonMagic.

Gli aggressori utilizzano questi ceppi di malware per rubare dati dai dispositivi presi di mira appartenenti a entità situate nelle regioni di Donetsk, Lugansk e Crimea. Gli obiettivi di questa campagna di spionaggio includono agenzie governative, nonché organizzazioni agricole e di trasporto.

Sembra altamente probabile che quest'ultima campagna di spionaggio informatico faccia parte del più ampio conflitto informatico tra Ucraina e Russia, dato il conflitto in corso nella regione.

Gli aggressori utilizzano e-mail di phishing e documenti esca

Gli aggressori dietro questo incidente hanno diffuso malware utilizzando e-mail di phishing, che contenevano un collegamento ipertestuale a un archivio .zip ospitato su un server con intenti dannosi.

L'archivio .zip era composto da due file: un documento che era stato camuffato per apparire come un decreto ufficiale - con esempi che includevano notifiche relative alle elezioni parlamentari in Crimea o alla pianificazione del bilancio a Donetsk - e un file .lnk dannoso. Dopo essere stato aperto, questo file .lnk avvierebbe il malware e infetterebbe il dispositivo mirato.

Nella fase iniziale dell'attacco, gli hacker hanno utilizzato una backdoor basata su PowerShell chiamata PowerMagic per infiltrarsi nel sistema.

PowerMagic è dotato di molteplici capacità minacciose

Dopo un ulteriore esame della backdoor di PowerMagic, è stato scoperto che la sezione principale della backdoor viene letta dal file che si trova in %APPDATA%\WinEventCom\config. Questo file viene quindi decrittografato attraverso l'uso di un semplice algoritmo XOR.

Dopo la decrittazione, la backdoor entra in un ciclo infinito che comunica continuamente con il server di comando e controllo (C&C) designato. La backdoor riceve quindi i comandi dal server e risponde con i risultati caricati.

Quando PowerMagic stabilisce con successo una connessione con il server C&C, ha la capacità di eseguire comandi arbitrari. I risultati di questi comandi eseguiti vengono esfiltrati in servizi cloud come Dropbox e Microsoft OneDrive.

Tuttavia, uno dei compiti principali di PowerMagic è fornire il framework CommonMagic della fase successiva ai dispositivi infetti. CommonMagic è uno strumento dannoso più complicato in grado di eseguire attività specifiche.