CommonMagic
Infosec-onderzoekers zijn erin geslaagd een aanvalscampagne te identificeren met behulp van een voorheen onbekend malware-framework tegen organisaties uit belangrijke sectoren in Oekraïne, wat duidelijk aangeeft welke actieve rol cyberoorlogvoering blijft spelen als onderdeel van de oorlog. De beoogde organisaties zijn actief in de sectoren overheid, landbouw en transport en zijn gevestigd in de regio's Donetsk, Lugansk en de Krim.
Deze aanvallen omvatten een nieuw modulair raamwerk genaamd CommonMagic, dat nog niet eerder is gezien. Het raamwerk lijkt te zijn ontworpen om de beoogde organisaties te infiltreren en te verstoren, waardoor mogelijk gevoelige informatie in gevaar wordt gebracht en kritieke infrastructuur wordt verstoord. Het is nog niet duidelijk wie verantwoordelijk is voor deze aanvallen of wat hun uiteindelijke doelen kunnen zijn. De situatie is aan de gang en organisaties in de getroffen gebieden moeten stappen ondernemen om hun netwerken en systemen te beveiligen tegen mogelijke bedreigingen.
Een complexe aanvalsketen levert de CommonMagic-malware
Volgens de onderzoekers is de exacte initiële compromisvector onduidelijk. De details van de volgende fase van de aanval geven echter aan dat spear phishing of soortgelijke technieken door de bedreigingsactoren kunnen worden gebruikt.
De aanvallen volgen een specifiek patroon waarbij een kwaadaardige URL aan de slachtoffers wordt gepresenteerd en wordt gebruikt om hen naar een ZIP-archief te leiden dat op een gecompromitteerde webserver wordt gehost. Wanneer het geleverde ZIP-bestand wordt geopend, bevat het een lokdocument en een kwaadaardig LNK-bestand. In de volgende fase van de aanval wordt een achterdeur genaamd PowerMagic ingezet op de geschonden apparaten. De achterdeur stelt de aanvaller in staat toegang te krijgen tot de computer van het slachtoffer en verschillende kwaadaardige activiteiten uit te voeren, maar het belangrijkste doel is het ophalen en implementeren van het CommonMagic-malwareframework, een veel gespecialiseerder stukje kwaadaardige software.
CommonMagic - Een voorheen ongezien bedreigend raamwerk
Van alle slachtoffers die zijn getroffen door PowerMagic- malware is ontdekt dat ze zijn geïnfecteerd met een veel ingewikkelder en geavanceerder kwaadaardig raamwerk, dat CommonMagic is genoemd. CommonMagic bestaat uit verschillende uitvoerbare modules, die allemaal zijn opgeslagen in een map in C:\ProgramData\CommonCommand. Elke module start als een onafhankelijk uitvoerbaar bestand en communiceert met de andere via named pipes. De modules zijn specifiek ontworpen voor communicatie met de Command and Control (C&C)-server, encryptie en decryptie van het C&C-verkeer, en het uitvoeren van diverse kwaadwillende acties.
Twee van de tot nu toe ontdekte modules zijn uitgerust met de mogelijkheid om screenshots te maken met intervallen van drie seconden en om interessante bestanden op te halen van alle aangesloten USB-apparaten. Het raamwerk gebruikt OneDrive externe mappen om gegevens te transporteren, en alle gegevens die worden uitgewisseld tussen de aanvaller en het slachtoffer via OneDrive worden versleuteld met behulp van de RC5Simple open-sourcebibliotheek.
