CommonMagic
Infosec अनुसन्धानकर्ताहरूले युक्रेनका प्रमुख क्षेत्रहरूका संगठनहरू विरुद्ध पहिले अज्ञात मालवेयर ढाँचा प्रयोग गरेर आक्रमण अभियान पहिचान गर्न व्यवस्थित गरेका छन्, स्पष्ट रूपमा सक्रिय भाग संकेत गर्दछ कि साइबरवारफेयर युद्धको भागको रूपमा खेल्न जारी छ। लक्षित संस्थाहरूले सरकार, कृषि, र यातायात क्षेत्रहरूमा काम गर्छन् र डोनेट्स्क, लुगान्स्क र क्रिमिया क्षेत्रहरूमा अवस्थित छन्।
यी आक्रमणहरूमा CommonMagic भनिने नयाँ मोड्युलर फ्रेमवर्क समावेश छ, जुन पहिले नदेखेको थियो। ढाँचालाई लक्षित संस्थाहरूमा घुसपैठ गर्न र बाधा पुर्याउन डिजाइन गरिएको देखिन्छ, सम्भावित रूपमा संवेदनशील जानकारीमा सम्झौता गर्ने र महत्वपूर्ण पूर्वाधारमा बाधा पुर्याउने। यी आक्रमणहरूका लागि जिम्मेवार को हो वा तिनीहरूको अन्तिम लक्ष्य के हुन सक्छ भन्ने अझै स्पष्ट छैन। स्थिति जारी छ, र प्रभावित क्षेत्रहरूमा संगठनहरूले सम्भावित खतराहरू विरुद्ध आफ्नो नेटवर्क र प्रणालीहरू सुरक्षित गर्न कदम चाल्नु पर्छ।
एउटा जटिल आक्रमण चेनले CommonMagic मालवेयर प्रदान गर्दछ
अन्वेषकहरूका अनुसार, सही प्रारम्भिक सम्झौता भेक्टर अस्पष्ट छ। यद्यपि, आक्रमणको अर्को चरणको विवरणले धम्की दिने व्यक्तिहरूले भाला फिसिङ वा यस्तै प्रविधिहरू प्रयोग गर्न सक्ने संकेत गर्छ।
आक्रमणहरूले एक विशेष ढाँचालाई पछ्याउँछ जहाँ एक खराब URL पीडितहरूलाई प्रस्तुत गरिन्छ र तिनीहरूलाई सम्झौता गरिएको वेब सर्भरमा होस्ट गरिएको ZIP अभिलेखमा लैजान प्रयोग गरिन्छ। जब डेलिभर गरिएको ZIP फाइल खोलिन्छ, यसले एक डिकोय कागजात र एक खराब LNK फाइल समावेश गर्दछ। आक्रमणको अर्को चरणमा, पावरमैजिक नामक ब्याकडोर तोडिएका उपकरणहरूमा तैनाथ गरिएको छ। ब्याकडोरले आक्रमणकारीलाई पीडितको कम्प्युटरमा पहुँच प्राप्त गर्न र विभिन्न दुर्भावनापूर्ण गतिविधिहरू सञ्चालन गर्न अनुमति दिन्छ, तर यसको मुख्य उद्देश्य CommonMagic मालवेयर फ्रेमवर्क ल्याउनु हो, जुन दुर्भावनापूर्ण सफ्टवेयरको धेरै विशेष टुक्रा हो।
CommonMagic - पहिले देखि नदेखिने खतरा फ्रेमवर्क
PowerMagic मालवेयरबाट प्रभावित सबै पीडितहरू धेरै जटिल र परिष्कृत मालिसियस फ्रेमवर्कबाट संक्रमित भएको पत्ता लागेको छ, जसलाई CommonMagic डब गरिएको छ। CommonMagic मा विभिन्न निष्पादन योग्य मोड्युलहरू समावेश छन्, ती सबै C:\ProgramData\CommonCommand मा अवस्थित डाइरेक्टरीमा भण्डारण गरिएका छन्। प्रत्येक मोड्युलले स्वतन्त्र कार्यान्वयन योग्य फाइलको रूपमा प्रारम्भ गर्दछ र नामित पाइपहरू मार्फत अरूसँग सञ्चार गर्दछ। मोड्युलहरू विशेष गरी कमाण्ड एन्ड कन्ट्रोल (C&C) सर्भरसँग सञ्चार, C&C ट्राफिकको इन्क्रिप्शन र डिक्रिप्शन, र धेरै खराब कार्यहरू गर्नका लागि डिजाइन गरिएको हो।
मितिमा पत्ता लगाइएका दुईवटा मोड्युलहरू तीन-सेकेन्ड अन्तरालहरूमा स्क्रिनसटहरू खिच्न र जडान भएका कुनै पनि USB यन्त्रहरूबाट रुचिका फाइलहरू पुनःप्राप्त गर्न सक्ने क्षमताहरूसँग सुसज्जित छन्। ढाँचाले डेटा ढुवानी गर्न OneDrive रिमोट फोल्डरहरू प्रयोग गर्दछ, र OneDrive मार्फत आक्रमणकर्ता र पीडित बीच आदानप्रदान गरिएको कुनै पनि डेटा RC5Simple खुला स्रोत पुस्तकालय प्रयोग गरेर इन्क्रिप्ट गरिएको छ।
