PowerMagic

Cercetările recente au scos la iveală o nouă campanie de spionaj cibernetic care vizează agențiile guvernamentale și alte organizații care operează în regiunile Ucrainei care sunt în prezent ocupate de Rusia. Această campanie utilizează două tulpini de malware distincte și necunoscute anterior, care au fost denumite PowerMagic și CommonMagic.

Atacatorii folosesc aceste tipuri de malware pentru a fura date de pe dispozitivele vizate aparținând entităților situate în regiunile Donețk, Lugansk și Crimeea. Țintele acestei campanii de spionaj includ agențiile guvernamentale, precum și organizațiile agricole și de transport.

Pare foarte probabil ca această ultimă campanie de spionaj cibernetic să facă parte din conflictul cibernetic mai mare dintre Ucraina și Rusia, având în vedere conflictul în curs în regiune.

Atacatorii folosesc e-mailuri de phishing și documente momeală

Atacatorii din spatele acestui incident au diseminat malware folosind e-mailuri de phishing, care conțineau un hyperlink către o arhivă .zip găzduită pe un server care avea intenții rău intenționate.

Arhiva .zip era compusă din două fișiere: un document care fusese deghizat pentru a apărea ca un decret oficial – cu exemple inclusiv notificări legate de alegerile parlamentare din Crimeea sau planificarea bugetară din Donețk – precum și un fișier .lnk rău intenționat. La deschidere, acest fișier .lnk va iniția malware-ul și ar infecta dispozitivul vizat.

În faza inițială a atacului, hackerii au folosit un backdoor bazat pe PowerShell numit PowerMagic pentru a se infiltra în sistem.

PowerMagic este echipat cu capacități multiple de amenințări

La o examinare suplimentară a ușii din spate PowerMagic, s-a descoperit că secțiunea principală a ușii din spate este citită din fișierul aflat la %APPDATA%\WinEventCom\config. Acest fișier este apoi decriptat prin utilizarea unui algoritm XOR simplu.

După decriptare, ușa din spate intră într-o buclă infinită care comunică continuu cu serverul său de comandă și control (C&C) desemnat. Ușa din spate primește apoi comenzi de la server și răspunde cu rezultatele încărcate.

Când PowerMagic stabilește cu succes o conexiune cu serverul C&C, acesta are capacitatea de a executa comenzi arbitrare. Rezultatele acestor comenzi executate sunt exfiltrate în servicii cloud precum Dropbox și Microsoft OneDrive.

Cu toate acestea, una dintre sarcinile principale ale PowerMagic este să livreze cadrul CommonMagic de etapă următoare dispozitivelor infectate. CommonMagic este un instrument rău intenționat mai complicat, capabil să efectueze sarcini specifice.