PowerMagic

Jaunākie pētījumi ir atklājuši jaunu kiberspiegošanas kampaņu, kas ir vērsta pret valdības aģentūrām un citām organizācijām, kas darbojas Ukrainas reģionos, kurus pašlaik okupē Krievija. Šajā kampaņā tiek izmantoti divi atšķirīgi un iepriekš nezināmi ļaunprātīgas programmatūras celmi, kas tika nosaukti par PowerMagic un CommonMagic.

Uzbrucēji izmanto šos ļaunprātīgas programmatūras celmus, lai izzagtu datus no mērķierīcēm, kas pieder vienībām, kas atrodas Doņeckas, Luganskas un Krimas reģionos. Šīs spiegošanas kampaņas mērķi ir valdības aģentūras, kā arī lauksaimniecības un transporta organizācijas.

Šķiet ļoti iespējams, ka šī jaunākā kiberspiegošanas kampaņa ir daļa no lielākā kiberkonflikta starp Ukrainu un Krieviju, ņemot vērā reģionā notiekošo konfliktu.

Uzbrucēji izmanto pikšķerēšanas e-pastus un mānekļus

Uzbrucēji, kas izraisīja šo incidentu, izplatīja ļaunprātīgu programmatūru, izmantojot pikšķerēšanas e-pasta ziņojumus, kuros bija hipersaite uz .zip arhīvu, kas tika mitināts serverī ar ļaunprātīgu nolūku.

.zip arhīvs sastāvēja no diviem failiem: dokumenta, kas bija slēpts kā oficiāls dekrēts — ar piemēriem, tostarp paziņojumiem saistībā ar parlamenta vēlēšanām Krimā vai budžeta plānošanu Doņeckā, kā arī ļaunprātīga .lnk faila. Pēc atvēršanas šis .lnk fails aktivizēs ļaunprātīgu programmatūru un inficēs mērķa ierīci.

Sākotnējā uzbrukuma fāzē hakeri izmantoja uz PowerShell balstītas aizmugures durvis ar nosaukumu PowerMagic, lai iefiltrētos sistēmā.

PowerMagic ir aprīkots ar vairākām apdraudēšanas iespējām

Tālāk pārbaudot PowerMagic aizmugures durvis, tika atklāts, ka aizmugures durvju primārā sadaļa tiek nolasīta no faila, kas atrodas %APPDATA%\WinEventCom\config. Pēc tam šis fails tiek atšifrēts, izmantojot vienkāršu XOR algoritmu.

Pēc atšifrēšanas aizmugures durvis nonāk bezgalīgā cilpā, kas nepārtraukti sazinās ar tai paredzēto komandu un vadības (C&C) serveri. Pēc tam aizmugures durvis saņem komandas no servera un atbild ar augšupielādētiem rezultātiem.

Kad PowerMagic veiksmīgi izveido savienojumu ar C&C serveri, tam ir iespēja izpildīt patvaļīgas komandas. Šo izpildīto komandu rezultāti tiek izfiltrēti mākoņpakalpojumos, piemēram, Dropbox un Microsoft OneDrive.

Tomēr viens no galvenajiem PowerMagic uzdevumiem ir nodrošināt nākamās pakāpes CommonMagic ietvaru inficētajās ierīcēs. CommonMagic ir sarežģītāks ļaunprātīgs rīks, kas spēj veikt konkrētus uzdevumus.