CommonMagic
Studiuesit e Infosec kanë arritur të identifikojnë një fushatë sulmi duke përdorur një kornizë të panjohur më parë malware kundër organizatave nga sektorët kryesorë në Ukrainë, duke treguar qartë rolin aktiv që lufta kibernetike po vazhdon të luajë si pjesë e luftës. Organizatat e synuara operojnë në sektorët e qeverisë, bujqësisë dhe transportit dhe janë të vendosura në rajonet Donetsk, Lugansk dhe Krime.
Këto sulme përfshijnë një kornizë të re modulare të quajtur CommonMagic, e cila nuk është parë më parë. Korniza duket se është krijuar për të infiltruar dhe përçarë organizatat e synuara, duke kompromentuar potencialisht informacione të ndjeshme dhe duke prishur infrastrukturën kritike. Nuk është ende e qartë se kush është përgjegjës për këto sulme apo cilat mund të jenë qëllimet e tyre përfundimtare. Situata është në vazhdim, dhe organizatat në zonat e prekura duhet të ndërmarrin hapa për të siguruar rrjetet dhe sistemet e tyre kundër kërcënimeve të mundshme.
Një Zinxhirë Kompleks i Sulmit jep Malware-in CommonMagic
Sipas studiuesve, vektori i saktë fillestar i kompromisit është i paqartë. Megjithatë, detajet e fazës tjetër të sulmit tregojnë se phishing me shtizë ose teknika të ngjashme mund të përdoren nga aktorët e kërcënimit.
Sulmet ndjekin një model specifik ku një URL me qëllim të keq u paraqitet viktimave dhe përdoret për t'i çuar ato në një arkiv ZIP të vendosur në një server të komprometuar në internet. Kur hapet skedari ZIP i dorëzuar, ai përmban një dokument mashtrimi dhe një skedar LNK me qëllim të keq. Në fazën tjetër të sulmit, një derë e pasme e quajtur PowerMagic vendoset në pajisjet e shkelura. Backdoor i lejon sulmuesit të fitojë akses në kompjuterin e viktimës dhe të kryejë aktivitete të ndryshme me qëllim të keq, por qëllimi i tij kryesor është të marrë dhe të vendosë kornizën e malware CommonMagic, një pjesë shumë më e specializuar e softuerit me qëllim të keq.
CommonMagic - Një kornizë kërcënuese e paparë më parë
Të gjitha viktimat e prekura nga malware PowerMagic janë zbuluar se janë infektuar me një kornizë shumë më të ndërlikuar dhe të sofistikuar keqdashëse, e cila është quajtur CommonMagic. CommonMagic përfshin module të ndryshme të ekzekutueshme, të cilat të gjitha ruhen në një direktori të vendosur në C:\ProgramData\CommonCommand. Çdo modul fillon si një skedar i pavarur i ekzekutueshëm dhe komunikon me të tjerët nëpërmjet tubave të emërtuar. Modulet janë krijuar posaçërisht për komunikim me serverin e komandës dhe kontrollit (C&C), enkriptimin dhe deshifrimin e trafikut C&C dhe kryerjen e disa veprimeve me qëllim të keq.
Dy nga modulet e zbuluara deri më sot janë të pajisura me aftësitë për të kapur pamje nga ekrani në intervale prej tre sekondash dhe për të tërhequr skedarë me interes nga çdo pajisje USB e lidhur. Korniza përdor dosjet në distancë të OneDrive për të transportuar të dhëna dhe çdo e dhënë e shkëmbyer midis sulmuesit dhe viktimës nëpërmjet OneDrive kodohet duke përdorur bibliotekën me burim të hapur RC5Simple.
