PowerMagic

Hulumtimet e fundit kanë ekspozuar një fushatë të re spiunazhi kibernetik që synon agjencitë qeveritare dhe organizatat e tjera që veprojnë brenda rajoneve të Ukrainës që aktualisht janë të pushtuara nga Rusia. Kjo fushatë përdor dy lloje malware të dallueshme dhe të panjohura më parë, të cilat janë quajtur PowerMagic dhe CommonMagic.

Sulmuesit përdorin këto lloje malware për të grabitur të dhëna nga pajisjet e synuara që u përkasin entiteteve të vendosura në rajonet Donetsk, Lugansk dhe Krime. Objektivat e kësaj fushate spiunazhi përfshijnë agjencitë qeveritare, si dhe organizatat e bujqësisë dhe transportit.

Duket shumë e mundshme që kjo fushatë e fundit e spiunazhit kibernetik është pjesë e konfliktit më të madh kibernetik midis Ukrainës dhe Rusisë, duke pasur parasysh konfliktin e vazhdueshëm në rajon.

Sulmuesit përdorin email phishing dhe dokumente mashtrimi

Sulmuesit pas këtij incidenti shpërndanë malware duke përdorur email phishing, të cilat përmbanin një lidhje me një arkiv .zip që strehohej në një server që kishte qëllime keqdashëse.

Arkivi .zip përbëhej nga dy dosje: një dokument që ishte maskuar për t'u shfaqur si një dekret zyrtar – me shembuj duke përfshirë njoftimet në lidhje me zgjedhjet parlamentare në Krime ose planifikimin e buxhetit në Donetsk – si dhe një skedar me qëllim të keq .lnk. Pasi të hapet, ky skedar .lnk do të inicojë malware dhe do të infektojë pajisjen e synuar.

Në fazën fillestare të sulmit, hakerët përdorën një backdoor të bazuar në PowerShell të quajtur PowerMagic për të depërtuar në sistem.

PowerMagic është i pajisur me aftësi të shumta kërcënuese

Pas ekzaminimit të mëtejshëm të derës së pasme të PowerMagic, u zbulua se pjesa kryesore e derës së pasme lexohet nga skedari i vendosur në %APPDATA%\WinEventCom\config. Ky skedar më pas deshifrohet nëpërmjet përdorimit të një algoritmi të thjeshtë XOR.

Pas deshifrimit, porta e pasme hyn në një lak të pafund që komunikon vazhdimisht me serverin e caktuar të komandës dhe kontrollit (C&C). Backdoor më pas merr komanda nga serveri dhe përgjigjet me rezultatet e ngarkuara.

Kur PowerMagic krijon me sukses një lidhje me serverin C&C, ai ka aftësinë për të ekzekutuar komanda arbitrare. Rezultatet e këtyre komandave të ekzekutuara ekzfiltohen në shërbimet cloud si Dropbox dhe Microsoft OneDrive.

Megjithatë, një nga detyrat kryesore të PowerMagic është të japë kuadrin CommonMagic të fazës tjetër te pajisjet e infektuara. CommonMagic është një mjet keqdashës më i ndërlikuar i aftë për të kryer detyra specifike.