CommonMagic

Výskumníkom spoločnosti Infosec sa podarilo identifikovať útočnú kampaň využívajúcu predtým neznámy rámec škodlivého softvéru proti organizáciám z kľúčových sektorov na Ukrajine, čo jasne naznačuje aktívnu úlohu, ktorú kybernetická vojna naďalej zohráva ako súčasť vojny. Cieľové organizácie pôsobia v sektoroch vlády, poľnohospodárstva a dopravy a nachádzajú sa v regiónoch Doneck, Lugansk a Krym.

Tieto útoky zahŕňajú nový modulárny rámec s názvom CommonMagic, ktorý tu ešte nebol. Zdá sa, že rámec je navrhnutý tak, aby infiltroval a narušil cieľové organizácie, čo môže potenciálne ohroziť citlivé informácie a narušiť kritickú infraštruktúru. Zatiaľ nie je jasné, kto je za tieto útoky zodpovedný, ani aké môžu byť ich konečné ciele. Situácia pretrváva a organizácie v postihnutých oblastiach by mali podniknúť kroky na zabezpečenie svojich sietí a systémov pred potenciálnymi hrozbami.

Komplexný reťazec útokov prináša malvér CommonMagic

Podľa vedcov je presný počiatočný vektor kompromisu nejasný. Podrobnosti o ďalšej fáze útoku však naznačujú, že aktéri hrozby môžu použiť spear phishing alebo podobné techniky.

Útoky sa riadia špecifickým vzorom, keď sa obetiam zobrazí škodlivá adresa URL, ktorá ich vedie do archívu ZIP umiestneného na napadnutom webovom serveri. Po otvorení doručeného súboru ZIP obsahuje návnadu a škodlivý súbor LNK. V ďalšej fáze útoku sú na narušené zariadenia nasadené zadné vrátka s názvom PowerMagic. Zadné vrátka umožňujú útočníkovi získať prístup k počítaču obete a vykonávať rôzne škodlivé aktivity, ale jeho hlavným účelom je získať a nasadiť malvérový rámec CommonMagic, oveľa špecializovanejší kus škodlivého softvéru.

CommonMagic – doteraz nevídaný rámec hrozieb

Zistilo sa, že všetky obete zasiahnuté malvérom PowerMagic boli infikované oveľa zložitejším a sofistikovanejším škodlivým rámcom, ktorý bol nazvaný CommonMagic. CommonMagic obsahuje rôzne spustiteľné moduly, z ktorých všetky sú uložené v adresári umiestnenom na C:\ProgramData\CommonCommand. Každý modul sa spustí ako nezávislý spustiteľný súbor a komunikuje s ostatnými cez pomenované kanály. Moduly sú špeciálne navrhnuté na komunikáciu so serverom Command and Control (C&C), šifrovanie a dešifrovanie prevádzky C&C a vykonávanie niekoľkých škodlivých akcií.

Dva z doteraz objavených modulov sú vybavené schopnosťou zachytávať snímky obrazovky v trojsekundových intervaloch a získavať súbory, ktoré vás zaujímajú, zo všetkých pripojených zariadení USB. Rámec používa na prenos údajov vzdialené priečinky OneDrive a všetky údaje vymieňané medzi útočníkom a obeťou cez OneDrive sú šifrované pomocou knižnice s otvoreným zdrojovým kódom RC5Simple.