CommonMagic

Raziskovalcem Infoseca je uspelo identificirati kampanjo napada z uporabo prej neznanega ogrodja zlonamerne programske opreme proti organizacijam iz ključnih sektorjev v Ukrajini, kar jasno kaže na aktivno vlogo, ki jo kibernetsko vojskovanje še naprej igra kot del vojne. Ciljne organizacije delujejo v vladnem, kmetijskem in transportnem sektorju ter se nahajajo v regijah Doneck, Lugansk in Krim.

Ti napadi vključujejo nov modularni okvir, imenovan CommonMagic, ki ga še nismo videli. Zdi se, da je ogrodje zasnovano za infiltracijo in motenje ciljnih organizacij, kar lahko ogrozi občutljive informacije in moti kritično infrastrukturo. Ni še jasno, kdo je odgovoren za te napade ali kakšni so njihovi končni cilji. Razmere se nadaljujejo in organizacije na prizadetih območjih bi morale sprejeti ukrepe za zaščito svojih omrežij in sistemov pred morebitnimi grožnjami.

Kompleksna veriga napadov prinaša zlonamerno programsko opremo CommonMagic

Po mnenju raziskovalcev je natančen začetni vektor kompromisa nejasen. Vendar pa podrobnosti o naslednji stopnji napada kažejo, da akterji groženj morda uporabljajo lažno predstavljanje ali podobne tehnike.

Napadi sledijo določenemu vzorcu, kjer se žrtvam prikaže zlonamerni URL in se uporabi za vodenje do arhiva ZIP, ki gostuje na ogroženem spletnem strežniku. Ko se dostavljena datoteka ZIP odpre, vsebuje dokument z vabo in zlonamerno datoteko LNK. V naslednji fazi napada se na vdrte naprave namesti stranska vrata z imenom PowerMagic. Zadnja vrata napadalcu omogočajo dostop do žrtvinega računalnika in izvajanje različnih zlonamernih dejavnosti, vendar je njegov glavni namen pridobiti in namestiti zlonamerno programsko ogrodje CommonMagic, veliko bolj specializiran kos zlonamerne programske opreme.

CommonMagic – prej neviden grozeči okvir

Ugotovljeno je bilo, da so bile vse žrtve, na katere je vplivala zlonamerna programska oprema PowerMagic , okužene z veliko bolj zapletenim in sofisticiranim zlonamernim ogrodjem, ki so ga poimenovali CommonMagic. CommonMagic obsega različne izvršljive module, ki so vsi shranjeni v imeniku, ki se nahaja na C:\ProgramData\CommonCommand. Vsak modul se začne kot neodvisna izvedljiva datoteka in komunicira z drugimi prek poimenovanih cevi. Moduli so posebej zasnovani za komunikacijo s strežnikom za upravljanje in nadzor (C&C), šifriranje in dešifriranje C&C prometa ter izvajanje več zlonamernih dejanj.

Dva modula, ki sta bila odkrita do danes, sta opremljena z zmogljivostmi za zajemanje posnetkov zaslona v trisekundnih intervalih in za pridobivanje datotek, ki vas zanimajo, iz katere koli priključene naprave USB. Ogrodje uporablja oddaljene mape OneDrive za prenos podatkov, vsi podatki, izmenjani med napadalcem in žrtvijo prek OneDrive, pa so šifrirani z uporabo odprtokodne knjižnice RC5Simple.