PowerMagic

Ny forskning har avslöjat en ny cyberspionagekampanj som riktar sig till statliga myndigheter och andra organisationer som verkar inom regioner i Ukraina som för närvarande är ockuperade av Ryssland. Den här kampanjen använder två distinkta och tidigare okända skadlig programvara, som har döpts till PowerMagic och CommonMagic.

Angriparna använder dessa stammar av skadlig programvara för att stjäla data från de riktade enheterna som tillhör enheter i Donetsk-, Lugansk- och Krim-regionerna. Målen för denna spionagekampanj inkluderar statliga myndigheter, såväl som jordbruks- och transportorganisationer.

Det verkar mycket troligt att denna senaste cyberspionagekampanj är en del av den större cyberkonflikten mellan Ukraina och Ryssland, med tanke på den pågående konflikten i regionen.

Angriparna använder nätfiske-e-post och lockdokument

Angriparna bakom denna incident spred skadlig programvara genom att använda nätfiske-e-postmeddelanden, som innehöll en hyperlänk till ett .zip-arkiv som var värd på en server som hade skadliga avsikter.

.zip-arkivet bestod av två filer: ett dokument som hade förkläts för att framstå som ett officiellt dekret – med exempel inklusive meddelanden relaterade till parlamentsval på Krim eller budgetplanering i Donetsk – samt en skadlig .lnk-fil. När den här .lnk-filen öppnas kommer den att initiera skadlig programvara och infektera den riktade enheten.

I den inledande fasen av attacken använde hackarna en PowerShell-baserad bakdörr som heter PowerMagic för att infiltrera systemet.

PowerMagic är utrustad med flera hotfulla funktioner

Vid ytterligare undersökning av PowerMagic-bakdörren upptäcktes att den primära sektionen av bakdörren läses från filen som finns på %APPDATA%\WinEventCom\config. Denna fil dekrypteras sedan med hjälp av en enkel XOR-algoritm.

Efter dekryptering går bakdörren in i en oändlig loop som kontinuerligt kommunicerar med dess utsedda kommando- och kontrollserver (C&C). Bakdörren tar sedan emot kommandon från servern och svarar med uppladdade resultat.

När PowerMagic lyckas upprätta en anslutning med C&C-servern har den förmågan att utföra godtyckliga kommandon. Resultaten av dessa körda kommandon exfiltreras till molntjänster som Dropbox och Microsoft OneDrive.

En av PowerMagics huvuduppgifter är dock att leverera CommonMagic -ramverket i nästa steg till de infekterade enheterna. CommonMagic är ett mer komplicerat skadligt verktyg som kan utföra specifika uppgifter.