Ortak Büyü

Infosec araştırmacıları, Ukrayna'daki kilit sektörlerden kuruluşlara karşı önceden bilinmeyen bir kötü amaçlı yazılım çerçevesi kullanan bir saldırı kampanyasını belirlemeyi başardılar ve bu, siber savaşın savaşın bir parçası olarak oynamaya devam ettiği aktif rolü açıkça gösteriyor. Hedeflenen kuruluşlar devlet, tarım ve ulaşım sektörlerinde faaliyet gösteriyor ve Donetsk, Lugansk ve Kırım bölgelerinde bulunuyor.

Bu saldırılar, daha önce görülmemiş olan CommonMagic adlı yeni bir modüler çerçeveyi içerir. Çerçeve, potansiyel olarak hassas bilgileri tehlikeye atarak ve kritik altyapıyı bozarak, hedeflenen kuruluşlara sızmak ve onları bozmak için tasarlanmış gibi görünüyor. Bu saldırılardan kimin sorumlu olduğu veya nihai hedeflerinin ne olabileceği henüz belli değil. Durum devam ediyor ve etkilenen bölgelerdeki kuruluşlar, ağlarını ve sistemlerini olası tehditlere karşı güvenceye almak için adımlar atmalıdır.

Karmaşık Bir Saldırı Zinciri, CommonMagic Kötü Amaçlı Yazılımını Sağlıyor

Araştırmacılara göre, kesin ilk uzlaşma vektörü belirsizdir. Ancak saldırının bir sonraki aşamasına ilişkin ayrıntılar, tehdit aktörleri tarafından spear phishing veya benzeri tekniklerin kullanılabileceğini gösteriyor.

Saldırılar, kurbanlara kötü amaçlı bir URL'nin sunulduğu ve onları güvenliği ihlal edilmiş bir web sunucusunda barındırılan bir ZIP arşivine yönlendirmek için kullanıldığı belirli bir model izliyor. Teslim edilen ZIP dosyası açıldığında, bir tuzak belge ve kötü amaçlı bir LNK dosyası içerir. Saldırının bir sonraki aşamasında, ihlal edilen cihazlara PowerMagic adlı bir arka kapı konuşlandırılır. Arka kapı, saldırganın kurbanın bilgisayarına erişmesine ve çeşitli kötü amaçlı faaliyetler gerçekleştirmesine olanak tanır, ancak asıl amacı, çok daha özel bir kötü amaçlı yazılım parçası olan CommonMagic kötü amaçlı yazılım çerçevesini alıp dağıtmaktır.

CommonMagic - Daha Önce Görülmemiş Bir Tehdit Çerçevesi

PowerMagic kötü amaçlı yazılımından etkilenen tüm kurbanların, CommonMagic olarak adlandırılan çok daha karmaşık ve karmaşık bir kötü amaçlı çerçeve ile enfekte olduğu keşfedildi. CommonMagic, tümü C:\ProgramData\CommonCommand konumunda bulunan bir dizinde depolanan çeşitli yürütülebilir modüllerden oluşur. Her modül bağımsız bir yürütülebilir dosya olarak başlatılır ve diğerleriyle adlandırılmış kanallar aracılığıyla iletişim kurar. Modüller, Komuta ve Kontrol (C&C) sunucusuyla iletişim, C&C trafiğinin şifrelenmesi ve şifresinin çözülmesi ve çeşitli kötü amaçlı eylemlerin gerçekleştirilmesi için özel olarak tasarlanmıştır.

Bugüne kadar keşfedilen modüllerden ikisi, üç saniyelik aralıklarla ekran görüntüsü alma ve bağlı herhangi bir USB cihazından ilgili dosyaları alma yetenekleriyle donatılmıştır. Çerçeve, verileri taşımak için OneDrive uzak klasörlerini kullanır ve saldırgan ile kurban arasında OneDrive aracılığıyla değiş tokuş edilen tüm veriler RC5Simple açık kaynak kitaplığı kullanılarak şifrelenir.