PowerMagic

Nedavna raziskava je razkrila novo kampanjo kibernetskega vohunjenja, ki je namenjena vladnim agencijam in drugim organizacijam, ki delujejo v regijah Ukrajine, ki jih trenutno zaseda Rusija. Ta kampanja uporablja dve različni in prej neznani različici zlonamerne programske opreme, ki sta ju poimenovali PowerMagic in CommonMagic.

Napadalci te vrste zlonamerne programske opreme uporabljajo za krajo podatkov iz ciljnih naprav, ki pripadajo subjektom v regijah Doneck, Lugansk in Krim. Tarče te vohunske kampanje so vladne agencije, pa tudi kmetijske in transportne organizacije.

Zdi se zelo verjetno, da je ta najnovejša kibernetska vohunska kampanja del večjega kibernetskega konflikta med Ukrajino in Rusijo, glede na nenehni konflikt v regiji.

Napadalci uporabljajo phishing e-pošto in lažne dokumente

Napadalci, ki stojijo za tem incidentom, so razširili zlonamerno programsko opremo z uporabo lažnih e-poštnih sporočil, ki so vsebovala hiperpovezavo do arhiva .zip, ki je gostoval na strežniku, ki je imel zlonameren namen.

Arhiv .zip je bil sestavljen iz dveh datotek: dokumenta, ki je bil prikrit tako, da je videti kot uradni odlok – s primeri, vključno z obvestili v zvezi s parlamentarnimi volitvami na Krimu ali načrtovanjem proračuna v Donecku – ter zlonamerne datoteke .lnk. Ko bi bila ta datoteka .lnk odprta, bi sprožila zlonamerno programsko opremo in okužila ciljno napravo.

V začetni fazi napada so hekerji za infiltracijo v sistem uporabili stranska vrata, ki temeljijo na PowerShell, imenovano PowerMagic.

PowerMagic je opremljen z več zmožnostmi nevarnosti

Po nadaljnjem pregledu backdoorja PowerMagic je bilo ugotovljeno, da se primarni del backdoorja bere iz datoteke, ki se nahaja na %APPDATA%\WinEventCom\config. Ta datoteka se nato dešifrira z uporabo preprostega algoritma XOR.

Po dešifriranju stranska vrata vstopijo v neskončno zanko, ki nenehno komunicira s svojim določenim strežnikom za ukaze in nadzor (C&C). Zadnja vrata nato prejmejo ukaze s strežnika in se odzovejo z naloženimi rezultati.

Ko PowerMagic uspešno vzpostavi povezavo s strežnikom C&C, ima možnost izvajanja poljubnih ukazov. Rezultati teh izvedenih ukazov so eksfiltrirani v storitve v oblaku, kot sta Dropbox in Microsoft OneDrive.

Vendar pa je ena od glavnih nalog PowerMagic, da okuženim napravam dostavi okvir CommonMagic naslednje stopnje. CommonMagic je bolj zapleteno zlonamerno orodje, ki lahko izvaja specifične naloge.