파워매직

최근 연구에 따르면 현재 러시아가 점령하고 있는 우크라이나 지역 내에서 활동하는 정부 기관 및 기타 조직을 겨냥한 새로운 사이버 스파이 활동이 드러났습니다. 이 캠페인은 PowerMagic 및 CommonMagic이라고 하는 이전에 알려지지 않은 두 가지 고유한 맬웨어 변종을 활용합니다.

공격자는 이러한 맬웨어 변종을 사용하여 Donetsk, Lugansk 및 Crimea 지역에 위치한 기업에 속한 대상 장치에서 데이터를 훔칩니다. 이 스파이 캠페인의 대상에는 농업 및 운송 기관뿐만 아니라 정부 기관도 포함됩니다.

이 최신 사이버 스파이 캠페인은 지역에서 계속되는 분쟁을 고려할 때 우크라이나와 러시아 사이의 더 큰 사이버 분쟁의 일부일 가능성이 매우 높습니다.

공격자는 피싱 이메일과 미끼 문서를 사용합니다.

이 사건의 배후에 있는 공격자는 악의적인 의도를 가진 서버에서 호스팅되는 .zip 아카이브에 대한 하이퍼링크가 포함된 피싱 이메일을 사용하여 맬웨어를 유포했습니다.

.zip 아카이브는 두 개의 파일로 구성되어 있습니다. 공식 법령으로 위장한 문서(예: 크리미아 의회 선거 또는 도네츠크 예산 계획 관련 알림 포함)와 악성 .lnk 파일입니다. 이 .lnk 파일은 열리면 맬웨어를 시작하고 대상 장치를 감염시킵니다.

공격 초기 단계에서 해커는 PowerMagic이라는 PowerShell 기반 백도어를 사용하여 시스템에 침투했습니다.

PowerMagic은 다양한 위협 기능을 갖추고 있습니다.

PowerMagic 백도어를 자세히 조사한 결과, %APPDATA%\WinEventCom\config에 있는 파일에서 백도어의 기본 섹션을 읽는 것으로 나타났습니다. 그런 다음 이 파일은 간단한 XOR 알고리즘을 사용하여 해독됩니다.

복호화 후 백도어는 지정된 명령 및 제어(C&C) 서버와 지속적으로 통신하는 무한 루프에 들어갑니다. 그런 다음 백도어는 서버에서 명령을 수신하고 업로드된 결과로 응답합니다.

PowerMagic이 C&C 서버와 성공적으로 연결되면 임의의 명령을 실행할 수 있습니다. 이러한 실행된 명령의 결과는 Dropbox 및 Microsoft OneDrive와 같은 클라우드 서비스로 유출됩니다.

그러나 PowerMagic의 주요 작업 중 하나는 다음 단계 CommonMagic 프레임워크를 감염된 장치에 전달하는 것입니다. CommonMagic은 특정 작업을 수행할 수 있는 보다 복잡한 악성 도구입니다.