CommonMagic

Infosec pētniekiem ir izdevies identificēt uzbrukuma kampaņu, izmantojot iepriekš nezināmu ļaunprogrammatūras sistēmu pret organizācijām no galvenajām nozarēm Ukrainā, skaidri norādot uz kiberkara aktīvo lomu kara gaitā. Mērķa organizācijas darbojas valsts, lauksaimniecības un transporta nozarēs un atrodas Doņeckas, Luganskas un Krimas reģionos.

Šie uzbrukumi ietver jaunu moduļu sistēmu CommonMagic, kas iepriekš nav redzēta. Šķiet, ka sistēma ir izstrādāta, lai iefiltrētos mērķa organizācijās un traucētu tām, potenciāli apdraudot sensitīvu informāciju un izjaucot kritisko infrastruktūru. Pagaidām nav skaidrs, kurš ir atbildīgs par šiem uzbrukumiem un kādi varētu būt to galīgie mērķi. Situācija turpinās, un organizācijām skartajās teritorijās jāveic pasākumi, lai aizsargātu savus tīklus un sistēmas pret iespējamiem draudiem.

Sarežģīta uzbrukuma ķēde nodrošina CommonMagic ļaunprogrammatūru

Pēc pētnieku domām, precīzs sākotnējais kompromisa vektors nav skaidrs. Tomēr sīkāka informācija par nākamo uzbrukuma posmu liecina, ka apdraudējuma dalībnieki var izmantot pikšķerēšanu vai līdzīgus paņēmienus.

Uzbrukumi notiek pēc noteikta modeļa, kurā upuriem tiek parādīts ļaunprātīgs URL, kas tiek izmantots, lai viņus novirzītu uz ZIP arhīvu, kas mitināts apdraudētā tīmekļa serverī. Kad tiek atvērts piegādātais ZIP fails, tajā ir mānīšanas dokuments un ļaunprātīgs LNK fails. Nākamajā uzbrukuma fāzē uzlauztajām ierīcēm tiek izvietotas aizmugures durvis ar nosaukumu PowerMagic. Aizmugurējās durvis ļauj uzbrucējam piekļūt upura datoram un veikt dažādas ļaunprātīgas darbības, taču tās galvenais mērķis ir ienest un izvietot CommonMagic ļaunprātīgas programmatūras ietvaru, kas ir daudz specializētāka ļaunprātīgas programmatūras daļa.

CommonMagic — iepriekš neredzēts draudošs ietvars

Ir atklāts, ka visi PowerMagic ļaunprogrammatūras ietekmētie upuri ir inficēti ar daudz sarežģītāku un sarežģītāku ļaunprātīgu sistēmu, kas nodēvēta par CommonMagic. CommonMagic ietver dažādus izpildāmos moduļus, kas visi tiek glabāti direktorijā, kas atrodas C:\ProgramData\CommonCommand. Katrs modulis tiek uzsākts kā neatkarīgs izpildāms fails un sazinās ar citiem, izmantojot nosauktas caurules. Moduļi ir īpaši izstrādāti saziņai ar Command and Control (C&C) serveri, C&C trafika šifrēšanai un atšifrēšanai, kā arī vairāku ļaunprātīgu darbību veikšanai.

Divi no līdz šim atklātajiem moduļiem ir aprīkoti ar iespējām tvert ekrānuzņēmumus ar trīs sekunžu intervālu un izgūt interesējošos failus no jebkuras pievienotās USB ierīces. Ietvars izmanto OneDrive attālās mapes, lai pārsūtītu datus, un visi dati, ar kuriem uzbrucējs un upuris apmainās, izmantojot OneDrive, tiek šifrēti, izmantojot atvērtā pirmkoda bibliotēku RC5Simple.