Sức mạnh ma thuật
Nghiên cứu gần đây đã vạch trần một chiến dịch gián điệp mạng mới nhằm vào các cơ quan chính phủ và các tổ chức khác hoạt động trong các khu vực của Ukraine hiện đang bị Nga chiếm đóng. Chiến dịch này sử dụng hai chủng phần mềm độc hại riêng biệt và chưa từng được biết đến trước đây, được đặt tên là PowerMagic và CommonMagic.
Những kẻ tấn công sử dụng các dòng phần mềm độc hại này để đánh cắp dữ liệu từ các thiết bị được nhắm mục tiêu thuộc về các thực thể ở các khu vực Donetsk, Lugansk và Crimea. Các mục tiêu của chiến dịch gián điệp này bao gồm các cơ quan chính phủ, cũng như các tổ chức nông nghiệp và vận tải.
Có vẻ như rất có khả năng chiến dịch gián điệp mạng mới nhất này là một phần của cuộc xung đột mạng lớn hơn giữa Ukraine và Nga, do xung đột đang diễn ra trong khu vực.
Những kẻ tấn công sử dụng email lừa đảo và tài liệu mồi nhử
Những kẻ tấn công đứng đằng sau sự cố này đã phát tán phần mềm độc hại bằng cách sử dụng email lừa đảo, chứa siêu liên kết đến tệp lưu trữ .zip được lưu trữ trên máy chủ có mục đích xấu.
Kho lưu trữ .zip bao gồm hai tệp: một tài liệu đã được ngụy trang dưới dạng một sắc lệnh chính thức – với các ví dụ bao gồm các thông báo liên quan đến cuộc bầu cử quốc hội ở Crimea hoặc kế hoạch ngân sách ở Donetsk – cũng như một tệp .lnk độc hại. Khi được mở, tệp .lnk này sẽ khởi tạo phần mềm độc hại và lây nhiễm sang thiết bị được nhắm mục tiêu.
Trong giai đoạn đầu của cuộc tấn công, tin tặc đã sử dụng một cửa hậu dựa trên PowerShell có tên là PowerMagic để xâm nhập vào hệ thống.
PowerMagic được trang bị nhiều khả năng đe dọa
Sau khi kiểm tra sâu hơn về cửa hậu PowerMagic, người ta phát hiện ra rằng phần chính của cửa hậu được đọc từ tệp nằm ở %APPDATA%\WinEventCom\config. Tệp này sau đó được giải mã thông qua việc sử dụng thuật toán XOR đơn giản.
Sau khi giải mã, cửa hậu đi vào một vòng lặp vô hạn liên tục giao tiếp với máy chủ Chỉ huy và Kiểm soát (C&C) được chỉ định của nó. Sau đó, cửa hậu nhận lệnh từ máy chủ và phản hồi bằng kết quả được tải lên.
Khi PowerMagic thiết lập thành công kết nối với máy chủ C&C, nó có khả năng thực thi các lệnh tùy ý. Kết quả của các lệnh đã thực thi này được lọc ra các dịch vụ đám mây như Dropbox và Microsoft OneDrive.
Tuy nhiên, một trong những nhiệm vụ chính của PowerMagic là cung cấp khung CommonMagic giai đoạn tiếp theo cho các thiết bị bị nhiễm. CommonMagic là một công cụ độc hại phức tạp hơn có khả năng thực hiện các tác vụ cụ thể.
