ПоверМагиц

Недавно истраживање је открило нову кампању сајбер шпијунаже која је усмерена на владине агенције и друге организације које делују у регионима Украјине који су тренутно окупирани од стране Русије. Ова кампања користи два различита и раније непозната соја малвера, који су названи ПоверМагиц и ЦоммонМагиц.

Нападачи користе ове врсте малвера за крађу података са циљаних уређаја који припадају ентитетима који се налазе у регионима Доњецка, Луганска и Крима. Мете ове шпијунске кампање укључују владине агенције, као и пољопривредне и транспортне организације.

Чини се врло вероватним да је ова најновија кампања сајбер шпијунаже део већег сајбер сукоба између Украјине и Русије, с обзиром на конфликт који је у току у региону.

Нападачи користе пхисхинг е-поруке и лажне документе

Нападачи који стоје иза овог инцидента су ширили злонамерни софтвер користећи пхисхинг емаилове, који су садржали хипервезу ка .зип архиви која је била смештена на серверу који је имао злонамерне намере.

.зип архива се састојала од две датотеке: документа који је био прикривен да се појављује као званична уредба – са примерима укључујући обавештења у вези са парламентарним изборима на Криму или планирањем буџета у Доњецку – као и злонамерне .лнк датотеке. Након отварања, ова .лнк датотека би покренула малвер и заразила циљани уређај.

У почетној фази напада, хакери су користили бацкдоор базиран на ПоверСхелл-у под називом ПоверМагиц да инфилтрирају систем.

ПоверМагиц је опремљен са вишеструким претећим могућностима

Даљњим испитивањем ПоверМагиц бацкдоор-а, откривено је да се примарни део бацкдоор-а чита из датотеке која се налази на %АППДАТА%\ВинЕвентЦом\цонфиг. Ова датотека се затим дешифрује коришћењем једноставног КСОР алгоритма.

Након дешифровања, бацкдоор улази у бесконачну петљу која континуирано комуницира са својим одређеним сервером за команду и контролу (Ц&Ц). Бацкдоор затим прима команде са сервера и одговара учитаним резултатима.

Када ПоверМагиц успешно успостави везу са Ц&Ц сервером, има могућност да изврши произвољне команде. Резултати ових извршених команди се ексфилтрирају у услуге у облаку као што су Дропбок и Мицрософт ОнеДриве.

Међутим, један од главних задатака ПоверМагиц-а је да испоручи ЦоммонМагиц оквир следеће фазе на заражене уређаје. ЦоммонМагиц је компликованија злонамерна алатка која може да обавља одређене задатке.