PowerMagic

Penyelidikan terkini telah mendedahkan kempen pengintipan siber baharu yang ditujukan kepada agensi kerajaan dan organisasi lain yang beroperasi dalam wilayah Ukraine yang kini diduduki oleh Rusia. Kempen ini menggunakan dua jenis perisian hasad yang berbeza dan sebelum ini tidak diketahui, yang telah digelar PowerMagic dan CommonMagic.

Penyerang menggunakan jenis perisian hasad ini untuk mencuri data daripada peranti yang disasarkan milik entiti yang terletak di wilayah Donetsk, Lugansk dan Crimea. Sasaran kempen pengintipan ini termasuk agensi kerajaan, serta organisasi pertanian dan pengangkutan.

Nampaknya berkemungkinan besar bahawa kempen pengintipan siber terbaharu ini adalah sebahagian daripada konflik siber yang lebih besar antara Ukraine dan Rusia, memandangkan konflik yang berterusan di rantau ini.

Penyerang Menggunakan E-mel Phishing dan Dokumen Tiruan

Penyerang di sebalik kejadian ini menyebarkan perisian hasad dengan menggunakan e-mel pancingan data, yang mengandungi hiperpautan ke arkib .zip yang dihoskan pada pelayan yang mempunyai niat jahat.

Arkib .zip terdiri daripada dua fail: dokumen yang telah disamarkan untuk muncul sebagai dekri rasmi – dengan contoh termasuk pemberitahuan yang berkaitan dengan pilihan raya parlimen di Crimea atau perancangan belanjawan di Donetsk – serta fail .lnk yang berniat jahat. Apabila dibuka, fail .lnk ini akan memulakan perisian hasad dan menjangkiti peranti yang disasarkan.

Pada fasa awal serangan, penggodam menggunakan pintu belakang berasaskan PowerShell yang dipanggil PowerMagic untuk menyusup ke dalam sistem.

PowerMagic Dilengkapi dengan Pelbagai Keupayaan Mengancam

Setelah pemeriksaan lanjut ke atas pintu belakang PowerMagic, didapati bahawa bahagian utama pintu belakang dibaca daripada fail yang terletak di %APPDATA%\WinEventCom\config. Fail ini kemudiannya dinyahsulit melalui penggunaan algoritma XOR yang mudah.

Selepas penyahsulitan, pintu belakang memasuki gelung tak terhingga yang terus berkomunikasi dengan pelayan Perintah dan Kawalan (C&C) yang ditetapkan. Pintu belakang kemudian menerima arahan daripada pelayan dan bertindak balas dengan hasil yang dimuat naik.

Apabila PowerMagic berjaya mewujudkan sambungan dengan pelayan C&C, ia mempunyai keupayaan untuk melaksanakan arahan sewenang-wenangnya. Hasil daripada arahan yang dilaksanakan ini dieksfiltrasi ke perkhidmatan awan seperti Dropbox dan Microsoft OneDrive.

Walau bagaimanapun, salah satu tugas utama PowerMagic adalah untuk menyampaikan rangka kerja CommonMagic peringkat seterusnya kepada peranti yang dijangkiti. CommonMagic ialah alat berniat jahat yang lebih rumit yang mampu melaksanakan tugas tertentu.