PowerMagic

Naujausi tyrimai atskleidė naują kibernetinio šnipinėjimo kampaniją, skirtą vyriausybinėms agentūroms ir kitoms organizacijoms, veikiančioms šiuo metu Rusijos okupuotuose Ukrainos regionuose. Šioje kampanijoje naudojami du skirtingi ir anksčiau nežinomi kenkėjiškų programų tipai, kurie buvo pavadinti PowerMagic ir CommonMagic.

Užpuolikai naudoja šias kenkėjiškų programų padermes, kad pavogtų duomenis iš tikslinių įrenginių, priklausančių subjektams, esantiems Donecko, Lugansko ir Krymo regionuose. Šios šnipinėjimo kampanijos taikiniai yra vyriausybinės agentūros, taip pat žemės ūkio ir transporto organizacijos.

Labai tikėtina, kad ši naujausia kibernetinio šnipinėjimo kampanija yra didesnio kibernetinio konflikto tarp Ukrainos ir Rusijos dalis, atsižvelgiant į vykstantį konfliktą regione.

Užpuolikai naudoja sukčiavimo el. laiškus ir apgaulės dokumentus

Šio incidento užpuolikai išplatino kenkėjiškas programas naudodami sukčiavimo el. laiškus, kuriuose buvo hipersaitas į .zip archyvą, kuris buvo priglobtas serveryje, turinčiame kenkėjiškų ketinimų.

.zip archyvą sudarė du failai: dokumentas, kuris buvo užmaskuotas kaip oficialus dekretas – su pavyzdžiais, įskaitant pranešimus, susijusius su parlamento rinkimais Kryme arba biudžeto planavimu Donecke, ir kenkėjiško .lnk failo. Atidarius šį .lnk failą, jis sukeltų kenkėjišką programą ir užkrėstų tikslinį įrenginį.

Pradinėje atakos fazėje įsilaužėliai naudojo „PowerShell“ pagrindu veikiančias užpakalines duris, pavadintas „PowerMagic“, kad įsiskverbtų į sistemą.

„PowerMagic“ yra aprūpintas daugybe grėsmės galių

Toliau tiriant „PowerMagic“ užpakalines duris, buvo nustatyta, kad pirminė galinių durų dalis nuskaitoma iš failo, esančio %APPDATA%\WinEventCom\config. Tada šis failas iššifruojamas naudojant paprastą XOR algoritmą.

Po iššifravimo užpakalinės durys patenka į begalinę kilpą, kuri nuolat palaiko ryšį su paskirtu komandų ir valdymo (C&C) serveriu. Tada užpakalinės durys gauna komandas iš serverio ir atsako įkeltais rezultatais.

Kai PowerMagic sėkmingai užmezga ryšį su C&C serveriu, ji turi galimybę vykdyti savavališkas komandas. Šių vykdomų komandų rezultatai perkeliami į debesies paslaugas, tokias kaip „Dropbox“ ir „Microsoft OneDrive“.

Tačiau viena iš pagrindinių PowerMagic užduočių yra pristatyti naujos pakopos CommonMagic sistemą į užkrėstus įrenginius. CommonMagic yra sudėtingesnis kenkėjiškas įrankis, galintis atlikti konkrečias užduotis.