CommonMagic

Исследователям Infosec удалось выявить атаку с использованием ранее неизвестного вредоносного ПО на организации из ключевых секторов в Украине, что ясно указывает на активную роль, которую кибервойна продолжает играть как часть войны. Целевые организации работают в государственном, сельскохозяйственном и транспортном секторах и расположены в Донецкой, Луганской областях и Крыму.

В этих атаках используется новая модульная структура под названием CommonMagic, которой раньше не было. Похоже, что эта структура предназначена для проникновения в целевые организации и нарушения их работы, что может привести к компрометации конфиденциальной информации и нарушению работы критической инфраструктуры. Пока неясно, кто несет ответственность за эти атаки и каковы могут быть их конечные цели. Ситуация продолжается, и организации в пострадавших районах должны принять меры для защиты своих сетей и систем от потенциальных угроз.

Сложная цепочка атак доставляет вредоносное ПО CommonMagic

По словам исследователей, точный первоначальный вектор компрометации неясен. Однако детали следующего этапа атаки указывают на то, что злоумышленники могут использовать целевой фишинг или аналогичные методы.

Атаки следуют определенной схеме, когда жертвам предоставляется вредоносный URL-адрес, который используется для перехода к ZIP-архиву, размещенному на скомпрометированном веб-сервере. Когда доставленный ZIP-файл открывается, он содержит документ-приманку и вредоносный файл LNK. На следующем этапе атаки на взломанные устройства развертывается бэкдор под названием PowerMagic. Бэкдор позволяет злоумышленнику получить доступ к компьютеру жертвы и выполнять различные вредоносные действия, но его основная цель — получить и развернуть вредоносную среду CommonMagic, гораздо более специализированную часть вредоносного программного обеспечения.

CommonMagic — ранее невиданный угрожающий фреймворк

Было обнаружено, что все жертвы, затронутые вредоносным ПО PowerMagic , были заражены гораздо более сложной и изощренной вредоносной структурой, получившей название CommonMagic. CommonMagic состоит из различных исполняемых модулей, каждый из которых хранится в каталоге, расположенном по адресу C:\ProgramData\CommonCommand. Каждый модуль запускается как независимый исполняемый файл и взаимодействует с другими через именованные каналы. Модули специально разработаны для связи с сервером управления и контроля (C&C), шифрования и дешифрования трафика C&C, а также выполнения ряда вредоносных действий.

Два из обнаруженных на сегодняшний день модулей оснащены возможностью делать снимки экрана с интервалом в три секунды и извлекать интересующие файлы с любых подключенных USB-устройств. Фреймворк использует удаленные папки OneDrive для передачи данных, а любые данные, которыми злоумышленник и жертва обмениваются через OneDrive, шифруются с использованием библиотеки с открытым исходным кодом RC5Simple.