PowerMagic

Inilantad ng kamakailang pananaliksik ang isang bagong kampanyang cyberespionage na naglalayong sa mga ahensya ng gobyerno at iba pang organisasyong tumatakbo sa loob ng mga rehiyon ng Ukraine na kasalukuyang inookupahan ng Russia. Gumagamit ang campaign na ito ng dalawang kakaiba at dati nang hindi kilalang mga strain ng malware, na tinawag na PowerMagic at CommonMagic.

Ginagamit ng mga umaatake ang mga uri ng malware na ito upang kunin ang data mula sa mga naka-target na device na pagmamay-ari ng mga entity na matatagpuan sa mga rehiyon ng Donetsk, Lugansk, at Crimea. Kabilang sa mga target ng espionage campaign na ito ang mga ahensya ng gobyerno, gayundin ang mga organisasyon sa agrikultura at transportasyon.

Mukhang malaki ang posibilidad na ang pinakabagong cyberespionage campaign na ito ay bahagi ng mas malaking salungatan sa cyber sa pagitan ng Ukraine at Russia, dahil sa patuloy na salungatan sa rehiyon.

Gumagamit ang mga Attacker ng Phishing Email at Decoy Documents

Ang mga umaatake sa likod ng insidenteng ito ay nagpakalat ng malware sa pamamagitan ng paggamit ng mga phishing na email, na naglalaman ng hyperlink sa isang .zip archive na naka-host sa isang server na may malisyosong layunin.

Binubuo ang .zip archive ng dalawang file: isang dokumento na itinago upang lumitaw bilang isang opisyal na utos – na may mga halimbawa kasama ang mga abiso na may kaugnayan sa parliamentaryong halalan sa Crimea o pagpaplano ng badyet sa Donetsk – pati na rin ang isang malisyosong .lnk file. Sa pagbukas, ang .lnk file na ito ang magpapasimula ng malware at makakahawa sa naka-target na device.

Sa paunang yugto ng pag-atake, gumamit ang mga hacker ng backdoor na nakabatay sa PowerShell na tinatawag na PowerMagic upang makapasok sa system.

Ang PowerMagic ay Nilagyan ng Maramihang Mga Kakayahang Pagbabanta

Sa karagdagang pagsusuri sa backdoor ng PowerMagic, natuklasan na ang pangunahing seksyon ng backdoor ay binabasa mula sa file na matatagpuan sa %APPDATA%\WinEventCom\config. Ang file na ito ay pagkatapos ay decrypted sa pamamagitan ng paggamit ng isang simpleng XOR algorithm.

Pagkatapos ng decryption, papasok ang backdoor sa isang walang katapusang loop na patuloy na nakikipag-ugnayan sa itinalagang Command and Control (C&C) server nito. Ang backdoor pagkatapos ay tumatanggap ng mga utos mula sa server at tumugon sa mga na-upload na resulta.

Kapag matagumpay na nakagawa ang PowerMagic ng koneksyon sa C&C server, mayroon itong kakayahang magsagawa ng mga arbitrary na utos. Ang mga resulta ng mga executed command na ito ay na-exfiltrate sa cloud services gaya ng Dropbox at Microsoft OneDrive.

Gayunpaman, isa sa mga pangunahing gawain ng PowerMagic ay ihatid ang susunod na yugto ng CommonMagic framework sa mga nahawaang device. Ang CommonMagic ay isang mas kumplikadong nakakahamak na tool na may kakayahang magsagawa ng mga partikular na gawain.