PowerMagic

Нещодавні дослідження виявили нову кампанію кібершпигунства, спрямовану проти державних установ та інших організацій, що діють у регіонах України, які зараз окуповані Росією. У цій кампанії використовуються два різні та раніше невідомі типи шкідливих програм, які отримали назву PowerMagic і CommonMagic.

Зловмисники використовують ці штами шкідливого програмного забезпечення для крадіжки даних з цільових пристроїв, що належать організаціям, розташованим у Донецькій, Луганській та Кримській областях. Мішенями цієї шпигунської кампанії є державні установи, а також сільськогосподарські та транспортні організації.

Дуже ймовірно, що ця остання кампанія кібершпигунства є частиною більшого кіберконфлікту між Україною та Росією, враховуючи поточний конфлікт у регіоні.

Зловмисники використовують фішингові електронні листи та документи-приманки

Зловмисники, які стояли за цим інцидентом, поширювали зловмисне програмне забезпечення, використовуючи фішингові електронні листи, які містили гіперпосилання на архів .zip, розміщений на сервері зі зловмисними намірами.

Архів .zip складався з двох файлів: документу, який був замаскований під офіційний указ – із прикладами повідомлень, пов’язаних із парламентськими виборами в Криму чи плануванням бюджету в Донецьку – а також шкідливого файлу .lnk. Після відкриття цей файл .lnk ініціював би зловмисне програмне забезпечення та заразив цільовий пристрій.

На початковому етапі атаки хакери використовували бекдор PowerMagic на основі PowerShell для проникнення в систему.

PowerMagic оснащений кількома загрозливими можливостями

Після подальшого дослідження бекдора PowerMagic було виявлено, що основний розділ бекдора зчитується з файлу, розташованого за адресою %APPDATA%\WinEventCom\config. Потім цей файл розшифровується за допомогою простого алгоритму XOR.

Після розшифровки бекдор входить у нескінченний цикл, який безперервно спілкується з призначеним сервером командування та керування (C&C). Потім бекдор отримує команди від сервера та відповідає завантаженими результатами.

Коли PowerMagic успішно встановлює з’єднання з сервером C&C, він має можливість виконувати довільні команди. Результати цих виконаних команд ексфільтруються в хмарні служби, такі як Dropbox і Microsoft OneDrive.

Однак одним із головних завдань PowerMagic є доставка фреймворку наступного етапу CommonMagic на заражені пристрої. CommonMagic — це більш складний шкідливий інструмент, здатний виконувати специфічні завдання.