PowerMagic
ការស្រាវជ្រាវថ្មីៗនេះបានលាតត្រដាងនូវយុទ្ធនាការចារកម្មតាមអ៊ីនធឺណិតថ្មីមួយ ដែលសំដៅទៅលើទីភ្នាក់ងាររដ្ឋាភិបាល និងអង្គការដទៃទៀត ដែលប្រតិបត្តិការនៅក្នុងតំបន់នៃប្រទេសអ៊ុយក្រែន ដែលបច្ចុប្បន្នកំពុងកាន់កាប់ដោយប្រទេសរុស្ស៊ី។ យុទ្ធនាការនេះប្រើប្រាស់មេរោគមេរោគពីរផ្សេងគ្នា និងមិនស្គាល់ពីមុន ដែលត្រូវបានគេដាក់ឈ្មោះថា PowerMagic និង CommonMagic ។
អ្នកវាយប្រហារប្រើប្រាស់មេរោគប្រភេទនេះ ដើម្បីលួចទិន្នន័យពីឧបករណ៍គោលដៅដែលជាកម្មសិទ្ធិរបស់អង្គភាពដែលមានទីតាំងនៅតំបន់ Donetsk, Lugansk និង Crimea។ គោលដៅនៃយុទ្ធនាការចារកម្មនេះ រួមមានទីភ្នាក់ងាររដ្ឋាភិបាល ក៏ដូចជាអង្គការកសិកម្ម និងដឹកជញ្ជូន។
វាទំនងជាទំនងណាស់ដែលយុទ្ធនាការចារកម្មតាមអ៊ីនធឺណិតចុងក្រោយបង្អស់នេះគឺជាផ្នែកមួយនៃជម្លោះអ៊ីនធឺណិតកាន់តែធំរវាងអ៊ុយក្រែន និងរុស្ស៊ី ដោយសារជម្លោះដែលកំពុងបន្តនៅក្នុងតំបន់។
អ្នកវាយប្រហារប្រើអ៊ីមែលបន្លំ និងឯកសារបោកបញ្ឆោត
អ្នកវាយប្រហារនៅពីក្រោយឧប្បត្តិហេតុនេះបានផ្សព្វផ្សាយមេរោគដោយប្រើប្រាស់អ៊ីមែលបន្លំដែលមានតំណខ្ពស់ទៅកាន់ប័ណ្ណសារ .zip ដែលបង្ហោះនៅលើម៉ាស៊ីនមេដែលមានចេតនាព្យាបាទ។
បណ្ណសារ .zip ត្រូវបានផ្សំឡើងដោយឯកសារពីរ៖ ឯកសារដែលត្រូវបានក្លែងបន្លំដើម្បីបង្ហាញជាក្រឹត្យផ្លូវការមួយ ដោយមានឧទាហរណ៍រួមទាំងការជូនដំណឹងទាក់ទងនឹងការបោះឆ្នោតសភានៅគ្រីមៀ ឬផែនការថវិកានៅដូណេតស្ក៍ ក៏ដូចជាឯកសារ .lnk ដ៏អាក្រក់ផងដែរ។ នៅពេលត្រូវបានបើក ឯកសារ .lnk នេះនឹងចាប់ផ្តើមមេរោគ និងឆ្លងឧបករណ៍គោលដៅ។
នៅក្នុងដំណាក់កាលដំបូងនៃការវាយប្រហារ ពួក Hacker បានប្រើ Backdoor ដែលមានមូលដ្ឋានលើ PowerShell ដែលហៅថា PowerMagic ដើម្បីជ្រៀតចូលទៅក្នុងប្រព័ន្ធ។
PowerMagic ត្រូវបានបំពាក់ដោយសមត្ថភាពគំរាមកំហែងច្រើន។
នៅពេលពិនិត្យបន្ថែមទៀតនៃ PowerMagic backdoor វាត្រូវបានគេរកឃើញថាផ្នែកចម្បងនៃ backdoor ត្រូវបានអានពីឯកសារដែលមានទីតាំងនៅ %APPDATA%\WinEventCom\config ។ បន្ទាប់មកឯកសារនេះត្រូវបានឌិគ្រីបតាមរយៈការប្រើប្រាស់ក្បួនដោះស្រាយ XOR សាមញ្ញ។
បន្ទាប់ពីការឌិគ្រីប Backdoor ចូលទៅក្នុងរង្វិលជុំគ្មានកំណត់ ដែលទំនាក់ទំនងជាបន្តបន្ទាប់ជាមួយម៉ាស៊ីនមេ Command and Control (C&C) ដែលបានកំណត់របស់វា។ បន្ទាប់មក Backdoor ទទួលពាក្យបញ្ជាពីម៉ាស៊ីនមេ ហើយឆ្លើយតបជាមួយនឹងលទ្ធផលដែលបានបង្ហោះ។
នៅពេលដែល PowerMagic បង្កើតការតភ្ជាប់ជាមួយម៉ាស៊ីនមេ C&C ដោយជោគជ័យ វាមានសមត្ថភាពប្រតិបត្តិពាក្យបញ្ជាតាមអំពើចិត្ត។ លទ្ធផលនៃពាក្យបញ្ជាដែលបានប្រតិបត្តិទាំងនេះត្រូវបានច្រានចេញទៅសេវាពពកដូចជា Dropbox និង Microsoft OneDrive។
ទោះយ៉ាងណាក៏ដោយ ភារកិច្ចចម្បងមួយរបស់ PowerMagic គឺការបញ្ជូនក្របខ័ណ្ឌ CommonMagic ដំណាក់កាលបន្ទាប់ទៅកាន់ឧបករណ៍ដែលមានមេរោគ។ CommonMagic គឺជាឧបករណ៍ព្យាបាទដែលមានភាពស្មុគស្មាញជាងដែលមានសមត្ថភាពអនុវត្តការងារជាក់លាក់។
