PowerMagic

Recent onderzoek heeft een nieuwe cyberspionagecampagne blootgelegd die gericht is op overheidsinstanties en andere organisaties die actief zijn in regio's van Oekraïne die momenteel door Rusland worden bezet. Deze campagne maakt gebruik van twee verschillende en voorheen onbekende malwarestammen, genaamd PowerMagic en CommonMagic.

De aanvallers gebruiken deze soorten malware om gegevens te stelen van de beoogde apparaten van entiteiten in de regio's Donetsk, Lugansk en de Krim. De doelen van deze spionagecampagne zijn onder meer overheidsinstanties, maar ook landbouw- en transportorganisaties.

Het lijkt zeer waarschijnlijk dat deze nieuwste cyberspionagecampagne deel uitmaakt van het grotere cyberconflict tussen Oekraïne en Rusland, gezien het voortdurende conflict in de regio.

De aanvallers gebruiken phishing-e-mails en lokdocumenten

De aanvallers achter dit incident verspreidden malware door gebruik te maken van phishing-e-mails, die een hyperlink bevatten naar een .zip-archief dat werd gehost op een server met kwaadaardige bedoelingen.

Het .zip-archief bestond uit twee bestanden: een document dat was vermomd om te verschijnen als een officieel decreet – met voorbeelden van meldingen over parlementsverkiezingen op de Krim of begrotingsplanning in Donetsk – en een kwaadaardig .lnk-bestand. Bij het openen zou dit .lnk-bestand de malware starten en het beoogde apparaat infecteren.

In de beginfase van de aanval gebruikten de hackers een op PowerShell gebaseerde backdoor genaamd PowerMagic om het systeem te infiltreren.

PowerMagic is uitgerust met meerdere bedreigende mogelijkheden

Bij verder onderzoek van de PowerMagic-achterdeur werd ontdekt dat het primaire gedeelte van de achterdeur wordt gelezen uit het bestand in %APPDATA%\WinEventCom\config. Dit bestand wordt vervolgens gedecodeerd met behulp van een eenvoudig XOR-algoritme.

Na decodering komt de achterdeur in een oneindige lus die continu communiceert met de aangewezen Command and Control (C&C)-server. De achterdeur ontvangt vervolgens opdrachten van de server en reageert met geüploade resultaten.

Wanneer PowerMagic met succes een verbinding tot stand brengt met de C&C-server, heeft het de mogelijkheid om willekeurige opdrachten uit te voeren. De resultaten van deze uitgevoerde opdrachten worden geëxfiltreerd naar cloudservices zoals Dropbox en Microsoft OneDrive.

Een van de belangrijkste taken van PowerMagic is echter om het CommonMagic- framework van de volgende fase aan de geïnfecteerde apparaten te leveren. CommonMagic is een ingewikkelder kwaadaardig hulpmiddel dat specifieke taken kan uitvoeren.