CommonMagic
Penyelidik Infosec telah berjaya mengenal pasti kempen serangan menggunakan rangka kerja perisian hasad yang tidak diketahui sebelum ini terhadap organisasi dari sektor utama di Ukraine, dengan jelas menunjukkan bahagian aktif bahawa perang siber terus dimainkan sebagai sebahagian daripada perang. Organisasi yang disasarkan beroperasi dalam sektor kerajaan, pertanian dan pengangkutan dan terletak di wilayah Donetsk, Lugansk, dan Crimea.
Serangan ini melibatkan rangka kerja modular baharu yang dipanggil CommonMagic, yang belum pernah dilihat sebelum ini. Rangka kerja itu nampaknya direka bentuk untuk menyusup dan mengganggu organisasi yang disasarkan, yang berpotensi menjejaskan maklumat sensitif dan mengganggu infrastruktur kritikal. Ia masih belum jelas siapa yang bertanggungjawab untuk serangan ini atau apakah matlamat akhir mereka. Situasi ini berterusan, dan organisasi di kawasan yang terjejas harus mengambil langkah untuk melindungi rangkaian dan sistem mereka daripada kemungkinan ancaman.
Rantaian Serangan yang Kompleks Menyampaikan Perisian Hasad Biasa
Menurut penyelidik, vektor kompromi awal yang tepat tidak jelas. Walau bagaimanapun, butiran peringkat serangan seterusnya menunjukkan bahawa pancingan lembing atau teknik serupa boleh digunakan oleh pelaku ancaman.
Serangan mengikut corak tertentu di mana URL berniat jahat dibentangkan kepada mangsa dan digunakan untuk membawa mereka ke arkib ZIP yang dihoskan pada pelayan web yang terjejas. Apabila fail ZIP yang dihantar dibuka, ia mengandungi dokumen penipuan dan fail LNK yang berniat jahat. Dalam fasa serangan seterusnya, pintu belakang bernama PowerMagic digunakan pada peranti yang dilanggar. Pintu belakang membolehkan penyerang mendapat akses kepada komputer mangsa dan menjalankan pelbagai aktiviti berniat jahat, tetapi tujuan utamanya adalah untuk mengambil dan menggunakan rangka kerja perisian hasad CommonMagic, perisian hasad yang jauh lebih khusus.
CommonMagic - Rangka Kerja Mengancam Sebelum ini Ghaib
Kesemua mangsa yang terjejas oleh perisian hasad PowerMagic telah didapati telah dijangkiti dengan rangka kerja berniat jahat yang lebih rumit dan canggih, yang telah digelar CommonMagic. CommonMagic terdiri daripada pelbagai modul boleh laku, semuanya disimpan dalam direktori yang terletak di C:\ProgramData\CommonCommand. Setiap modul dimulakan sebagai fail boleh laku bebas dan berkomunikasi dengan yang lain melalui paip bernama. Modul ini direka khusus untuk komunikasi dengan pelayan Perintah dan Kawalan (C&C), penyulitan dan penyahsulitan trafik C&C, dan menjalankan beberapa tindakan berniat jahat.
Dua daripada modul yang ditemui setakat ini dilengkapi dengan keupayaan untuk menangkap tangkapan skrin pada selang tiga saat dan untuk mendapatkan semula fail yang diminati daripada mana-mana peranti USB yang disambungkan. Rangka kerja menggunakan folder jauh OneDrive untuk mengangkut data dan sebarang data yang ditukar antara penyerang dan mangsa melalui OneDrive disulitkan menggunakan perpustakaan sumber terbuka RC5Simple.
