Wspólna magia

Badaczom Infosec udało się zidentyfikować kampanię ataków przy użyciu nieznanego wcześniej szkieletu szkodliwego oprogramowania skierowanego przeciwko organizacjom z kluczowych sektorów na Ukrainie, wyraźnie wskazując aktywną rolę, jaką w wojnie nadal odgrywa cyberwojna. Organizacje będące celem ataków działają w sektorach rządowym, rolniczym i transportowym i są zlokalizowane w obwodach donieckim, ługańskim i krymskim.

Ataki te obejmują nową modułową platformę o nazwie CommonMagic, której wcześniej nie widziano. Wydaje się, że ramy te zostały zaprojektowane w celu infiltracji i zakłócania działania docelowych organizacji, potencjalnie zagrażając wrażliwym informacjom i zakłócając infrastrukturę krytyczną. Nie jest jeszcze jasne, kto jest odpowiedzialny za te ataki ani jakie mogą być ich ostateczne cele. Sytuacja trwa, a organizacje w dotkniętych obszarach powinny podjąć kroki w celu zabezpieczenia swoich sieci i systemów przed potencjalnymi zagrożeniami.

Złożony łańcuch ataków dostarcza złośliwe oprogramowanie CommonMagic

Według naukowców dokładny początkowy wektor kompromisu jest niejasny. Jednak szczegóły kolejnego etapu ataku wskazują, że cyberprzestępcy mogą wykorzystać spear phishing lub podobne techniki.

Ataki przebiegają według określonego schematu, w którym złośliwy adres URL jest prezentowany ofiarom i używany do kierowania ich do archiwum ZIP hostowanego na zaatakowanym serwerze internetowym. Po otwarciu dostarczonego pliku ZIP zawiera on zwodniczy dokument i złośliwy plik LNK. W następnej fazie ataku na zaatakowanych urządzeniach instalowany jest backdoor o nazwie PowerMagic. Backdoor umożliwia atakującemu uzyskanie dostępu do komputera ofiary i wykonywanie różnych złośliwych działań, ale jego głównym celem jest pobranie i wdrożenie szkieletu szkodliwego oprogramowania CommonMagic, znacznie bardziej wyspecjalizowanego złośliwego oprogramowania.

CommonMagic — wcześniej niewidziana, groźna platforma

Odkryto, że wszystkie ofiary, na które miało wpływ złośliwe oprogramowanie PowerMagic , zostały zainfekowane znacznie bardziej skomplikowanym i wyrafinowanym złośliwym środowiskiem, które zostało nazwane CommonMagic. CommonMagic zawiera różne moduły wykonywalne, z których wszystkie są przechowywane w katalogu znajdującym się w C:\ProgramData\CommonCommand. Każdy moduł jest uruchamiany jako niezależny plik wykonywalny i komunikuje się z innymi za pośrednictwem nazwanych potoków. Moduły są specjalnie zaprojektowane do komunikacji z serwerem dowodzenia i kontroli (C&C), szyfrowania i deszyfrowania ruchu C&C oraz wykonywania kilku złośliwych działań.

Dwa z dotychczas odkrytych modułów są wyposażone w możliwość wykonywania zrzutów ekranu w trzysekundowych odstępach oraz pobierania interesujących plików z dowolnych podłączonych urządzeń USB. Struktura wykorzystuje zdalne foldery OneDrive do transportu danych, a wszelkie dane wymieniane między atakującym a ofiarą za pośrednictwem OneDrive są szyfrowane przy użyciu biblioteki open source RC5Simple.