CommonMagic

Infosec-forskare har lyckats identifiera en attackkampanj med hjälp av ett tidigare okänt ramverk för skadlig programvara mot organisationer från nyckelsektorer i Ukraina, vilket tydligt indikerar den aktiva delen som cyberkrigföring fortsätter att spela som en del av kriget. De riktade organisationerna verkar inom regerings-, jordbruks- och transportsektorerna och finns i regionerna Donetsk, Lugansk och Krim.

Dessa attacker involverar ett nytt modulärt ramverk kallat CommonMagic, som inte har setts tidigare. Ramverket verkar vara utformat för att infiltrera och störa de riktade organisationerna, potentiellt äventyra känslig information och störa kritisk infrastruktur. Det är ännu inte klart vem som är ansvarig för dessa attacker eller vad deras slutliga mål kan vara. Situationen är pågående och organisationer i de drabbade områdena bör vidta åtgärder för att säkra sina nätverk och system mot potentiella hot.

En komplex attackkedja levererar CommonMagic Malware

Enligt forskarna är den exakta initiala kompromissvektorn oklart. Men detaljerna i nästa steg av attacken indikerar att spear phishing eller liknande tekniker kan användas av hotaktörerna.

Attackerna följer ett specifikt mönster där en skadlig URL presenteras för offren och används för att leda dem till ett ZIP-arkiv som finns på en intrång på en webbserver. När den levererade ZIP-filen öppnas innehåller den ett lockbetedokument och en skadlig LNK-fil. I nästa fas av attacken distribueras en bakdörr som heter PowerMagic på de brutna enheterna. Bakdörren tillåter angriparen att få tillgång till offrets dator och utföra olika skadliga aktiviteter, men dess huvudsakliga syfte är att hämta och distribuera CommonMagic malware-ramverket, en mycket mer specialiserad skadlig programvara.

CommonMagic - ett tidigare osynligt hotande ramverk

Alla offer som drabbats av PowerMagic skadlig programvara har upptäckts ha infekterats med ett mycket mer intrikat och sofistikerat skadligt ramverk, som har kallats CommonMagic. CommonMagic består av olika körbara moduler, som alla är lagrade i en katalog som finns på C:\ProgramData\CommonCommand. Varje modul initieras som en oberoende körbar fil och kommunicerar med de andra via namngivna rör. Modulerna är speciellt designade för kommunikation med Command and Control (C&C)-servern, kryptering och dekryptering av C&C-trafiken och för att utföra flera skadliga åtgärder.

Två av modulerna som hittills upptäckts är utrustade med möjligheter att ta skärmdumpar med tre sekunders intervall och för att hämta filer av intresse från alla USB-enheter som är anslutna. Ramverket använder OneDrive-fjärrmappar för att transportera data, och all data som utbyts mellan angriparen och offret via OneDrive krypteras med RC5Simple-biblioteket med öppen källkod.