ЦоммонМагиц

Истраживачи Инфосец-а су успели да идентификују кампању напада користећи раније непознати оквир за малвер против организација из кључних сектора у Украјини, што јасно указује на активну улогу коју сајбер-ратовање наставља да игра као део рата. Циљане организације раде у владином, пољопривредном и транспортном сектору и налазе се у регионима Доњецк, Луганск и Крим.

Ови напади укључују нови модуларни оквир под називом ЦоммонМагиц, који раније није виђен. Чини се да је оквир дизајниран да се инфилтрира и омета циљане организације, потенцијално компромитујући осетљиве информације и нарушавајући критичну инфраструктуру. Још није јасно ко је одговоран за ове нападе нити који би могли бити њихови крајњи циљеви. Ситуација је у току и организације у погођеним областима треба да предузму кораке да обезбеде своје мреже и системе од потенцијалних претњи.

Сложени ланац напада пружа ЦоммонМагиц малвер

Према истраживачима, тачан почетни вектор компромиса је нејасан. Међутим, детаљи следеће фазе напада указују на то да актери претње могу користити спеар пхисхинг или сличне технике.

Напади прате одређени образац где се жртвама представља злонамерни УРЛ који се користи да их одведе до ЗИП архиве која се налази на компромитованом веб серверу. Када се испоручена ЗИП датотека отвори, она садржи лажни документ и злонамерну ЛНК датотеку. У следећој фази напада, бацкдоор под именом ПоверМагиц се поставља на проваљене уређаје. Бацкдоор омогућава нападачу да приступи рачунару жртве и изврши разне злонамерне активности, али његова главна сврха је да преузме и примени ЦоммонМагиц малвер оквир, далеко специјализованији комад злонамерног софтвера.

ЦоммонМагиц - Раније невиђен претећи оквир

Откривено је да су све жртве погођене ПоверМагиц малвером заражене много сложенијим и софистициранијим злонамерним оквиром, који је назван ЦоммонМагиц. ЦоммонМагиц се састоји од различитих извршних модула, од којих су сви ускладиштени у директоријуму који се налази на Ц:\ПрограмДата\ЦоммонЦомманд. Сваки модул се покреће као независна извршна датотека и комуницира са осталима преко именованих цеви. Модули су посебно дизајнирани за комуникацију са сервером за команду и контролу (Ц&Ц), шифровање и дешифровање Ц&Ц саобраћаја и извођење неколико злонамерних радњи.

Два до сада откривена модула опремљена су могућностима за снимање снимака екрана у интервалима од три секунде и за преузимање датотека од интереса са било ког УСБ уређаја који је повезан. Оквир користи ОнеДриве удаљене фасцикле за транспорт података, а сви подаци који се размењују између нападача и жртве преко ОнеДриве-а су шифровани помоћу библиотеке отвореног кода РЦ5Симпле.