Güç Büyüsü

Son araştırmalar, Ukrayna'nın şu anda Rusya tarafından işgal edilen bölgelerinde faaliyet gösteren devlet kurumlarını ve diğer kuruluşları hedef alan yeni bir siber casusluk kampanyasını ortaya çıkardı. Bu kampanya, PowerMagic ve CommonMagic olarak adlandırılan iki farklı ve önceden bilinmeyen kötü amaçlı yazılım türünü kullanır.

Saldırganlar, Donetsk, Lugansk ve Kırım bölgelerinde bulunan kuruluşlara ait hedeflenen cihazlardan veri çalmak için bu kötü amaçlı yazılım türlerini kullanır. Bu casusluk kampanyasının hedefleri arasında devlet kurumlarının yanı sıra tarım ve ulaşım kuruluşları yer alıyor.

Bölgede devam eden çatışma göz önüne alındığında, bu son siber casusluk kampanyasının Ukrayna ile Rusya arasındaki daha büyük siber çatışmanın bir parçası olması kuvvetle muhtemel görünüyor.

Saldırganlar Kimlik Avı E-postaları ve Sahte Belgeler Kullanıyor

Bu olayın arkasındaki saldırganlar, kötü amaçlı bir sunucuda barındırılan bir .zip arşivine köprü içeren kimlik avı e-postaları kullanarak kötü amaçlı yazılım yaydı.

.zip arşivi iki dosyadan oluşuyordu: Kırım'daki parlamento seçimleri veya Donetsk'teki bütçe planlamasıyla ilgili bildirimleri içeren örneklerle birlikte resmi bir kararname gibi görünen bir belge ve kötü amaçlı bir .lnk dosyası. Bu .lnk dosyası açıldıktan sonra kötü amaçlı yazılımı başlatır ve hedeflenen cihaza bulaşır.

Saldırının ilk aşamasında bilgisayar korsanları, sisteme sızmak için PowerMagic adlı PowerShell tabanlı bir arka kapı kullandı.

PowerMagic, Birden Çok Tehdit Yeteneğiyle Donatılmıştır

PowerMagic arka kapısının daha ayrıntılı incelenmesi üzerine, arka kapının birincil bölümünün %APPDATA%\WinEventCom\config konumunda bulunan dosyadan okunduğu keşfedildi. Bu dosya daha sonra basit bir XOR algoritması kullanılarak çözülür.

Şifre çözme işleminden sonra arka kapı, belirlenmiş Komuta ve Kontrol (C&C) sunucusuyla sürekli iletişim kuran sonsuz bir döngüye girer. Arka kapı daha sonra sunucudan komutlar alır ve yüklenen sonuçlarla yanıt verir.

PowerMagic, C&C sunucusuyla başarılı bir şekilde bağlantı kurduğunda, rasgele komutları yürütme yeteneğine sahiptir. Yürütülen bu komutların sonuçları, Dropbox ve Microsoft OneDrive gibi bulut hizmetlerine aktarılır.

Ancak PowerMagic'in ana görevlerinden biri, bir sonraki aşama olan CommonMagic çerçevesini virüslü cihazlara teslim etmektir. CommonMagic, belirli görevleri yerine getirebilen daha karmaşık bir kötü amaçlı araçtır.