PowerMagic

Недавнее исследование выявило новую кампанию кибершпионажа, направленную против государственных органов и других организаций, действующих в регионах Украины, которые в настоящее время оккупированы Россией. В этой кампании используются два различных и ранее неизвестных штамма вредоносных программ, получивших название PowerMagic и CommonMagic.

Злоумышленники используют эти штаммы вредоносного ПО для кражи данных с целевых устройств, принадлежащих организациям, расположенным в Донецкой, Луганской областях и Крыму. Целями этой шпионской кампании являются правительственные учреждения, а также сельскохозяйственные и транспортные организации.

Весьма вероятно, что эта последняя кампания кибершпионажа является частью более крупного киберконфликта между Украиной и Россией, учитывая продолжающийся конфликт в регионе.

Злоумышленники используют фишинговые электронные письма и документы-приманки

Злоумышленники, стоящие за этим инцидентом, распространяли вредоносное ПО, используя фишинговые электронные письма, которые содержали гиперссылку на ZIP-архив, размещенный на сервере со злым умыслом.

Архив .zip состоял из двух файлов: документа, замаскированного под официальный указ, с примерами уведомлений, связанных с парламентскими выборами в Крыму или планированием бюджета в Донецке, а также вредоносного файла .lnk. После открытия этот файл .lnk инициирует вредоносное ПО и заражает целевое устройство.

На начальном этапе атаки хакеры использовали бэкдор на основе PowerShell под названием PowerMagic для проникновения в систему.

PowerMagic оснащен несколькими возможностями угроз

При дальнейшем изучении бэкдора PowerMagic было обнаружено, что основной раздел бэкдора считывается из файла, расположенного по адресу %APPDATA%\WinEventCom\config. Затем этот файл расшифровывается с помощью простого алгоритма XOR.

После расшифровки бэкдор входит в бесконечный цикл, который постоянно взаимодействует с назначенным сервером управления и контроля (C&C). Затем бэкдор получает команды с сервера и отвечает загруженными результатами.

Когда PowerMagic успешно устанавливает соединение с C&C-сервером, он может выполнять произвольные команды. Результаты этих выполненных команд эксфильтрируются в облачные службы, такие как Dropbox и Microsoft OneDrive.

Однако одной из основных задач PowerMagic является доставка среды CommonMagic следующей стадии на зараженные устройства. CommonMagic — более сложный вредоносный инструмент, способный выполнять определенные задачи.