CommonMagic

Infosec-forskere har klart å identifisere en angrepskampanje ved å bruke et tidligere ukjent rammeverk for skadelig programvare mot organisasjoner fra nøkkelsektorer i Ukraina, noe som tydelig indikerer den aktive delen som cyberkrigføring fortsetter å spille som en del av krigen. De målrettede organisasjonene opererer i myndighetene, landbruket og transportsektorene og er lokalisert i Donetsk, Lugansk og Krim-regionene.

Disse angrepene involverer et nytt modulært rammeverk kalt CommonMagic, som ikke har blitt sett før. Rammeverket ser ut til å være utformet for å infiltrere og forstyrre de målrettede organisasjonene, potensielt kompromittere sensitiv informasjon og forstyrre kritisk infrastruktur. Det er ennå ikke klart hvem som er ansvarlig for disse angrepene eller hva deres endelige mål kan være. Situasjonen er pågående, og organisasjoner i de berørte områdene bør ta skritt for å sikre sine nettverk og systemer mot potensielle trusler.

En kompleks angrepskjede leverer CommonMagic Malware

Ifølge forskerne er den eksakte innledende kompromissvektoren uklar. Detaljene i neste trinn av angrepet indikerer imidlertid at spyd-phishing eller lignende teknikker kan bli brukt av trusselaktørene.

Angrepene følger et spesifikt mønster der en ondsinnet URL presenteres for ofrene og brukes til å lede dem til et ZIP-arkiv som ligger på en kompromittert webserver. Når den leverte ZIP-filen åpnes, inneholder den et lokkedokument og en ondsinnet LNK-fil. I den neste fasen av angrepet blir en bakdør ved navn PowerMagic utplassert på de brutte enhetene. Bakdøren lar angriperen få tilgang til offerets datamaskin og utføre ulike ondsinnede aktiviteter, men hovedformålet er å hente og distribuere CommonMagic malware-rammeverket, et langt mer spesialisert stykke skadelig programvare.

CommonMagic - Et tidligere usett truende rammeverk

Alle ofrene som er påvirket av PowerMagic malware har blitt oppdaget å ha blitt infisert med et mye mer intrikat og sofistikert ondsinnet rammeverk, som har blitt kalt CommonMagic. CommonMagic består av ulike kjørbare moduler, som alle er lagret i en katalog som ligger på C:\ProgramData\CommonCommand. Hver modul starter som en uavhengig kjørbar fil og kommuniserer med de andre via navngitte rør. Modulene er spesielt utviklet for kommunikasjon med Command and Control (C&C)-serveren, kryptering og dekryptering av C&C-trafikken, og utførelse av flere ondsinnede handlinger.

To av modulene som er oppdaget til dags dato er utstyrt med muligheter for å ta skjermbilder med tre sekunders intervaller og for å hente filer av interesse fra alle USB-enheter som er tilkoblet. Rammeverket bruker eksterne OneDrive-mapper til å transportere data, og all data som utveksles mellom angriperen og offeret via OneDrive, krypteres ved hjelp av RC5Simple åpen kildekode-bibliotek.