Ma thuật chung

Các nhà nghiên cứu của Infosec đã quản lý để xác định một chiến dịch tấn công bằng cách sử dụng khung phần mềm độc hại chưa biết trước đó chống lại các tổ chức từ các ngành quan trọng ở Ukraine, cho thấy rõ ràng phần tích cực mà chiến tranh mạng đang tiếp tục đóng vai trò là một phần của cuộc chiến. Các tổ chức bị nhắm mục tiêu hoạt động trong các lĩnh vực chính phủ, nông nghiệp và giao thông vận tải và được đặt tại các khu vực Donetsk, Lugansk và Crimea.

Các cuộc tấn công này liên quan đến một khung mô-đun mới có tên là CommonMagic, chưa từng thấy trước đây. Khuôn khổ này dường như được thiết kế để xâm nhập và phá vỡ các tổ chức được nhắm mục tiêu, có khả năng làm tổn hại thông tin nhạy cảm và phá vỡ cơ sở hạ tầng quan trọng. Vẫn chưa rõ ai chịu trách nhiệm cho các cuộc tấn công này hoặc mục tiêu cuối cùng của họ có thể là gì. Tình hình vẫn đang diễn ra và các tổ chức ở các khu vực bị ảnh hưởng nên thực hiện các bước để bảo vệ mạng và hệ thống của họ trước các mối đe dọa tiềm ẩn.

Một chuỗi tấn công phức tạp cung cấp phần mềm độc hại CommonMagic

Theo các nhà nghiên cứu, véc tơ thỏa hiệp ban đầu chính xác là không rõ ràng. Tuy nhiên, các chi tiết về giai đoạn tiếp theo của cuộc tấn công chỉ ra rằng các kỹ thuật lừa đảo trực tuyến hoặc các kỹ thuật tương tự có thể được sử dụng bởi các tác nhân đe dọa.

Các cuộc tấn công tuân theo một mẫu cụ thể trong đó một URL độc hại được hiển thị cho nạn nhân và được sử dụng để dẫn họ đến kho lưu trữ ZIP được lưu trữ trên máy chủ web bị xâm nhập. Khi tệp ZIP đã gửi được mở ra, tệp chứa tài liệu giải mã và tệp LNK độc hại. Trong giai đoạn tiếp theo của cuộc tấn công, một cửa hậu có tên PowerMagic được triển khai trên các thiết bị bị xâm phạm. Cửa hậu cho phép kẻ tấn công có quyền truy cập vào máy tính của nạn nhân và thực hiện nhiều hoạt động độc hại khác nhau, nhưng mục đích chính của nó là tìm nạp và triển khai khung phần mềm độc hại CommonMagic, một phần mềm độc hại chuyên dụng hơn nhiều.

CommonMagic - Khung đe dọa chưa từng thấy trước đây

Tất cả các nạn nhân bị ảnh hưởng bởi phần mềm độc hại PowerMagic đã được phát hiện là đã bị nhiễm một khung độc hại tinh vi và phức tạp hơn nhiều, được đặt tên là CommonMagic. CommonMagic bao gồm nhiều mô-đun thực thi khác nhau, tất cả đều được lưu trữ trong một thư mục tại C:\ProgramData\CommonCommand. Mỗi mô-đun bắt đầu dưới dạng một tệp thực thi độc lập và giao tiếp với các mô-đun khác thông qua các đường ống được đặt tên. Các mô-đun được thiết kế đặc biệt để liên lạc với máy chủ Chỉ huy và Kiểm soát (C&C), mã hóa và giải mã lưu lượng C&C và thực hiện một số hành động độc hại.

Hai trong số các mô-đun được phát hiện cho đến nay được trang bị khả năng chụp ảnh màn hình trong khoảng thời gian ba giây và truy xuất các tệp quan tâm từ bất kỳ thiết bị USB nào được kết nối. Khung này sử dụng các thư mục từ xa OneDrive để vận chuyển dữ liệu và mọi dữ liệu được trao đổi giữa kẻ tấn công và nạn nhân qua OneDrive đều được mã hóa bằng thư viện mã nguồn mở RC5Simple.