PowerMagic

Nyere forskning har avslørt en ny nettspionasjekampanje som er rettet mot offentlige etater og andre organisasjoner som opererer i regioner i Ukraina som for tiden er okkupert av Russland. Denne kampanjen bruker to distinkte og tidligere ukjente malware-stammer, som har blitt kalt PowerMagic og CommonMagic.

Angriperne bruker disse stammene av skadelig programvare for å stjele data fra de målrettede enhetene som tilhører enheter lokalisert i Donetsk-, Lugansk- og Krim-regionene. Målene for denne spionkampanjen inkluderer offentlige etater, samt landbruks- og transportorganisasjoner.

Det virker svært sannsynlig at denne siste cyberspionkampanjen er en del av den større cyberkonflikten mellom Ukraina og Russland, gitt den pågående konflikten i regionen.

Angriperne bruker phishing-e-post og lokkedokumenter

Angriperne bak denne hendelsen spredte skadelig programvare ved å bruke phishing-e-poster, som inneholdt en hyperkobling til et .zip-arkiv som var vert på en server som hadde ondsinnet hensikt.

.zip-arkivet var sammensatt av to filer: et dokument som hadde blitt forkledd for å fremstå som et offisielt dekret – med eksempler inkludert varsler knyttet til parlamentsvalg på Krim eller budsjettplanlegging i Donetsk – samt en ondsinnet .lnk-fil. Når den åpnes, vil denne .lnk-filen starte skadelig programvare og infisere den målrettede enheten.

I den innledende fasen av angrepet brukte hackerne en PowerShell-basert bakdør kalt PowerMagic for å infiltrere systemet.

PowerMagic er utstyrt med flere truende egenskaper

Ved ytterligere undersøkelse av PowerMagic-bakdøren, ble det oppdaget at den primære delen av bakdøren leses fra filen som ligger på %APPDATA%\WinEventCom\config. Denne filen blir deretter dekryptert ved bruk av en enkel XOR-algoritme.

Etter dekryptering går bakdøren inn i en uendelig sløyfe som kontinuerlig kommuniserer med dens utpekte Command and Control (C&C) server. Bakdøren mottar deretter kommandoer fra serveren og svarer med opplastede resultater.

Når PowerMagic vellykket etablerer en forbindelse med C&C-serveren, har den muligheten til å utføre vilkårlige kommandoer. Resultatene av disse utførte kommandoene eksfiltreres til skytjenester som Dropbox og Microsoft OneDrive.

En av hovedoppgavene til PowerMagic er imidlertid å levere det neste trinnet CommonMagic -rammeverket til de infiserte enhetene. CommonMagic er et mer komplisert skadelig verktøy som er i stand til å utføre spesifikke oppgaver.