CommonMagic

Дослідникам Infosec вдалося ідентифікувати кампанію атаки з використанням раніше невідомого зловмисного програмного забезпечення проти організацій із ключових секторів в Україні, що чітко вказує на активну роль, яку кібервійна продовжує відігравати у війні. Цільові організації працюють в державному, сільськогосподарському та транспортному секторах і розташовані в Донецькій, Луганській областях та Криму.

Ці атаки включають нову модульну структуру під назвою CommonMagic, якої раніше не було. Схоже, платформа розроблена для проникнення в цільові організації та зриву їх діяльності, потенційно скомпрометувавши конфіденційну інформацію та порушуючи критичну інфраструктуру. Поки що не ясно, хто несе відповідальність за ці атаки або які можуть бути їхні кінцеві цілі. Ситуація триває, і організації в постраждалих районах повинні вжити заходів для захисту своїх мереж і систем від потенційних загроз.

Складний ланцюжок атак забезпечує зловмисне програмне забезпечення CommonMagic

За словами дослідників, точний вихідний вектор компромісу неясний. Однак деталі наступного етапу атаки вказують на те, що зловмисники можуть використовувати фішинг або подібні методи.

Атаки відбуваються за певною схемою, коли шкідлива URL-адреса представляється жертвам і використовується для перенаправлення їх до ZIP-архіву, розміщеного на скомпрометованому веб-сервері. Коли надісланий файл ZIP відкривається, він містить документ-приманку та шкідливий файл LNK. На наступному етапі атаки на зламаних пристроях розгортається бекдор під назвою PowerMagic. Бекдор дозволяє зловмиснику отримати доступ до комп’ютера жертви та виконувати різноманітні зловмисні дії, але його основна мета — отримати та розгорнути фреймворк зловмисного програмного забезпечення CommonMagic, набагато більш спеціалізовану частину шкідливого програмного забезпечення.

CommonMagic - Раніше невідома загрозлива структура

Виявлено, що всі жертви шкідливого програмного забезпечення PowerMagic були заражені набагато складнішою та складнішою шкідливою системою, яка отримала назву CommonMagic. CommonMagic містить різні виконувані модулі, усі з яких зберігаються в каталозі, розташованому в C:\ProgramData\CommonCommand. Кожен модуль запускається як незалежний виконуваний файл і спілкується з іншими через іменовані канали. Модулі спеціально розроблені для зв’язку з сервером командування та управління (C&C), шифрування та дешифрування трафіку C&C, а також для виконання кількох зловмисних дій.

Два модулі, виявлені на сьогоднішній день, оснащені можливостями робити знімки екрана з трисекундними інтервалами та отримувати цікаві файли з будь-яких підключених USB-пристроїв. Фреймворк використовує віддалені папки OneDrive для транспортування даних, і будь-які дані, якими обмінюються зловмисник і жертва через OneDrive, шифруються за допомогою бібліотеки з відкритим кодом RC5Simple.