PowerMagic

Ostatnie badania ujawniły nową kampanię cyberszpiegowską wymierzoną w agencje rządowe i inne organizacje działające w regionach Ukrainy, które są obecnie okupowane przez Rosję. Ta kampania wykorzystuje dwa różne i wcześniej nieznane szczepy złośliwego oprogramowania, które zostały nazwane PowerMagic i CommonMagic.

Atakujący wykorzystują te odmiany złośliwego oprogramowania do kradzieży danych z docelowych urządzeń należących do podmiotów zlokalizowanych w regionach Doniecka, Ługańska i Krymu. Celem tej kampanii szpiegowskiej są agencje rządowe, a także organizacje rolnicze i transportowe.

Wydaje się wysoce prawdopodobne, że ta najnowsza kampania cyberszpiegowska jest częścią większego konfliktu cybernetycznego między Ukrainą a Rosją, biorąc pod uwagę trwający konflikt w regionie.

Atakujący używają e-maili phishingowych i dokumentów-wabików

Atakujący stojący za tym incydentem rozpowszechniali złośliwe oprogramowanie, wykorzystując e-maile phishingowe, które zawierały hiperłącze do archiwum .zip, które było hostowane na serwerze, który miał złośliwe zamiary.

Archiwum .zip składało się z dwóch plików: dokumentu udającego oficjalny dekret – z przykładami obejmującymi powiadomienia dotyczące wyborów parlamentarnych na Krymie czy planowania budżetu w Doniecku – oraz złośliwego pliku .lnk. Po otwarciu ten plik .lnk zainicjował złośliwe oprogramowanie i zainfekował docelowe urządzenie.

W początkowej fazie ataku hakerzy wykorzystali backdoora o nazwie PowerMagic opartego na PowerShell, aby zinfiltrować system.

PowerMagic jest wyposażony w wiele groźnych możliwości

Po dokładniejszym zbadaniu backdoora PowerMagic odkryto, że główna sekcja backdoora jest odczytywana z pliku znajdującego się w %APPDATA%\WinEventCom\config. Ten plik jest następnie odszyfrowywany przy użyciu prostego algorytmu XOR.

Po odszyfrowaniu backdoor wchodzi w nieskończoną pętlę, która stale komunikuje się z wyznaczonym serwerem dowodzenia i kontroli (C&C). Następnie backdoor otrzymuje polecenia z serwera i odpowiada przesłanymi wynikami.

Gdy PowerMagic pomyślnie nawiąże połączenie z serwerem C&C, ma możliwość wykonania dowolnych poleceń. Wyniki tych wykonanych poleceń są eksfiltrowane do usług w chmurze, takich jak Dropbox i Microsoft OneDrive.

Jednak jednym z głównych zadań PowerMagic jest dostarczenie zainfekowanym urządzeniom frameworku CommonMagic następnego etapu. CommonMagic to bardziej skomplikowane złośliwe narzędzie zdolne do wykonywania określonych zadań.