CommonMagic
Nagawa ng mga mananaliksik ng Infosec na tukuyin ang isang kampanya sa pag-atake gamit ang isang dating hindi kilalang balangkas ng malware laban sa mga organisasyon mula sa mga pangunahing sektor sa Ukraine, na malinaw na nagpapahiwatig ng aktibong bahagi na ang cyberwarfare ay patuloy na gumaganap bilang bahagi ng digmaan. Ang mga target na organisasyon ay nagpapatakbo sa mga sektor ng gobyerno, agrikultura, at transportasyon at matatagpuan sa mga rehiyon ng Donetsk, Lugansk, nd Crimea.
Ang mga pag-atakeng ito ay nagsasangkot ng bagong modular framework na tinatawag na CommonMagic, na hindi pa nakikita noon. Lumilitaw na idinisenyo ang balangkas upang makalusot at makagambala sa mga target na organisasyon, na posibleng makompromiso ang sensitibong impormasyon at makagambala sa kritikal na imprastraktura. Hindi pa malinaw kung sino ang may pananagutan sa mga pag-atake na ito o kung ano ang maaaring maging mga ultimong layunin nito. Ang sitwasyon ay nagpapatuloy, at ang mga organisasyon sa mga apektadong lugar ay dapat gumawa ng mga hakbang upang ma-secure ang kanilang mga network at system laban sa mga potensyal na banta.
Isang Complex Attack Chain ang Naghahatid ng CommonMagic Malware
Ayon sa mga mananaliksik, ang eksaktong paunang vector ng kompromiso ay hindi malinaw. Gayunpaman, ang mga detalye ng susunod na yugto ng pag-atake ay nagpapahiwatig na ang spear phishing o mga katulad na pamamaraan ay maaaring gamitin ng mga aktor ng pagbabanta.
Ang mga pag-atake ay sumusunod sa isang partikular na pattern kung saan ang isang nakakahamak na URL ay ipinakita sa mga biktima at ginagamit upang dalhin sila sa isang ZIP archive na naka-host sa isang nakompromisong web server. Kapag binuksan ang inihatid na ZIP file, naglalaman ito ng decoy na dokumento at isang malisyosong LNK file. Sa susunod na yugto ng pag-atake, ang isang backdoor na pinangalanang PowerMagic ay na-deploy sa mga nalabag na device. Ang backdoor ay nagbibigay-daan sa umaatake na magkaroon ng access sa computer ng biktima at magsagawa ng iba't ibang malisyosong aktibidad, ngunit ang pangunahing layunin nito ay kunin at i-deploy ang CommonMagic malware framework, isang mas espesyal na bahagi ng nakakahamak na software.
CommonMagic - Isang Dati Hindi Nakikitang Balangkas na Nagbabanta
Ang lahat ng mga biktima na naapektuhan ng PowerMagic malware ay natuklasang nahawaan ng mas masalimuot at sopistikadong malisyosong balangkas, na tinawag na CommonMagic. Binubuo ng CommonMagic ang iba't ibang mga executable na module, na lahat ay nakaimbak sa isang direktoryo na matatagpuan sa C:\ProgramData\CommonCommand. Ang bawat module ay nagsisimula bilang isang independiyenteng maipapatupad na file at nakikipag-ugnayan sa iba sa pamamagitan ng pinangalanang mga tubo. Ang mga module ay partikular na idinisenyo para sa komunikasyon sa Command and Control (C&C) server, pag-encrypt at pag-decryption ng trapiko ng C&C, at pagsasagawa ng ilang malisyosong pagkilos.
Dalawa sa mga module na natuklasan hanggang ngayon ay nilagyan ng mga kakayahan na kumuha ng mga screenshot sa tatlong segundong pagitan at upang makuha ang mga file ng interes mula sa anumang USB device na nakakonekta. Gumagamit ang framework ng mga remote na folder ng OneDrive upang maghatid ng data, at anumang data na ipinagpapalit sa pagitan ng attacker at ng biktima sa pamamagitan ng OneDrive ay naka-encrypt gamit ang RC5Simple open-source library.
