PowerMagic

Nedávny výskum odhalil novú kyberšpionážnu kampaň, ktorá je zameraná na vládne agentúry a iné organizácie pôsobiace v regiónoch Ukrajiny, ktoré sú v súčasnosti okupované Ruskom. Táto kampaň využíva dva odlišné a predtým neznáme kmene malvéru, ktoré boli nazvané PowerMagic a CommonMagic.

Útočníci využívajú tieto kmene malvéru na krádež údajov z cieľových zariadení patriacich subjektom nachádzajúcich sa v regiónoch Doneck, Lugansk a Krym. Medzi ciele tejto špionážnej kampane patria vládne agentúry, ako aj poľnohospodárske a dopravné organizácie.

Zdá sa vysoko pravdepodobné, že táto najnovšia kyberšpionážna kampaň je súčasťou väčšieho kybernetického konfliktu medzi Ukrajinou a Ruskom vzhľadom na prebiehajúci konflikt v regióne.

Útočníci používajú phishingové e-maily a podvodné dokumenty

Útočníci za týmto incidentom šírili malvér pomocou phishingových e-mailov, ktoré obsahovali hypertextový odkaz na archív .zip, ktorý bol umiestnený na serveri so zlým úmyslom.

Archív .zip pozostával z dvoch súborov: dokumentu, ktorý mal vyzerať ako oficiálny dekrét – s príkladmi vrátane oznámení týkajúcich sa parlamentných volieb na Kryme alebo plánovania rozpočtu v Donecku – ako aj škodlivého súboru .lnk. Po otvorení by tento súbor .lnk inicioval malvér a infikoval cieľové zariadenie.

V počiatočnej fáze útoku hackeri použili backdoor na báze PowerShell s názvom PowerMagic na infiltráciu systému.

PowerMagic je vybavený viacerými hroziacimi schopnosťami

Pri ďalšom skúmaní backdoor PowerMagic sa zistilo, že primárna časť backdoor sa číta zo súboru umiestneného na %APPDATA%\WinEventCom\config. Tento súbor sa potom dešifruje pomocou jednoduchého algoritmu XOR.

Po dešifrovaní sa zadné vrátka dostanú do nekonečnej slučky, ktorá nepretržite komunikuje s určeným serverom velenia a riadenia (C&C). Backdoor potom prijíma príkazy zo servera a odpovedá nahranými výsledkami.

Keď PowerMagic úspešne nadviaže spojenie so serverom C&C, má schopnosť vykonávať ľubovoľné príkazy. Výsledky týchto vykonaných príkazov sú exfiltrované do cloudových služieb, ako sú Dropbox a Microsoft OneDrive.

Jednou z hlavných úloh PowerMagic je však dodať infikovaným zariadeniam rámec CommonMagic ďalšej fázy. CommonMagic je komplikovanejší škodlivý nástroj schopný vykonávať špecifické úlohy.