CommonMagic

Cercetătorii Infosec au reușit să identifice o campanie de atac folosind un cadru de malware necunoscut anterior împotriva organizațiilor din sectoare cheie din Ucraina, indicând în mod clar rolul activ pe care războiul cibernetic îl joacă în continuare ca parte a războiului. Organizațiile vizate operează în sectoarele guvernamentale, agriculturii și transporturilor și sunt situate în regiunile Donețk, Lugansk și Crimeea.

Aceste atacuri implică un nou cadru modular numit CommonMagic, care nu a fost văzut până acum. Cadrul pare să fie conceput pentru a se infiltre și a perturba organizațiile vizate, compromițând potențial informațiile sensibile și perturbând infrastructura critică. Nu este încă clar cine este responsabil pentru aceste atacuri sau care ar putea fi obiectivele lor finale. Situația este în curs de desfășurare, iar organizațiile din zonele afectate ar trebui să ia măsuri pentru a-și securiza rețelele și sistemele împotriva potențialelor amenințări.

Un lanț complex de atacuri oferă programul malware CommonMagic

Potrivit cercetătorilor, vectorul de compromis inițial exact este neclar. Cu toate acestea, detaliile următoarei etape a atacului indică faptul că spear phishing sau tehnici similare pot fi folosite de către actorii amenințărilor.

Atacurile urmează un model specific în care victimelor le este prezentată o adresă URL rău intenționată și este folosită pentru a le conduce la o arhivă ZIP găzduită pe un server web compromis. Când fișierul ZIP livrat este deschis, acesta conține un document momeală și un fișier LNK rău intenționat. În următoarea fază a atacului, o ușă din spate numită PowerMagic este desfășurată pe dispozitivele sparte. Ușa din spate permite atacatorului să obțină acces la computerul victimei și să desfășoare diferite activități rău intenționate, dar scopul său principal este să preia și să implementeze framework-ul malware CommonMagic, o piesă mult mai specializată de software rău intenționat.

CommonMagic - Un cadru amenințător nevăzut anterior

S-a descoperit că toate victimele afectate de malware PowerMagic au fost infectate cu un cadru rău intenționat mult mai complicat și mai sofisticat, care a fost numit CommonMagic. CommonMagic cuprinde diverse module executabile, toate fiind stocate într-un director situat la C:\ProgramData\CommonCommand. Fiecare modul inițiază ca fișier executabil independent și comunică cu ceilalți prin conducte numite. Modulele sunt concepute special pentru comunicarea cu serverul de comandă și control (C&C), criptarea și decriptarea traficului C&C și efectuarea mai multor acțiuni rău intenționate.

Două dintre modulele descoperite până în prezent sunt echipate cu capabilități de a captura capturi de ecran la intervale de trei secunde și de a prelua fișiere de interes de pe orice dispozitiv USB conectat. Cadrul folosește foldere de la distanță OneDrive pentru a transporta date, iar orice date schimbate între atacator și victimă prin OneDrive sunt criptate folosind biblioteca open-source RC5Simple.