魔力
最近的研究揭露了一项新的网络间谍活动,该活动针对的是在目前被俄罗斯占领的乌克兰地区内运营的政府机构和其他组织。该活动利用了两种截然不同且以前未知的恶意软件变种,它们被称为 PowerMagic 和 CommonMagic。
攻击者利用这些恶意软件从属于位于顿涅茨克、卢甘斯克和克里米亚地区的实体的目标设备窃取数据。这种间谍活动的目标包括政府机构以及农业和运输组织。
鉴于该地区持续不断的冲突,这次最新的网络间谍活动很可能是乌克兰和俄罗斯之间更大规模网络冲突的一部分。
攻击者使用网络钓鱼电子邮件和诱饵文件
此事件背后的攻击者通过使用网络钓鱼电子邮件传播恶意软件,其中包含指向托管在具有恶意意图的服务器上的 .zip 存档的超链接。
.zip 档案由两个文件组成:一个伪装成官方法令的文件——示例包括与克里米亚议会选举或顿涅茨克预算规划相关的通知——以及一个恶意的 .lnk 文件。打开后,此 .lnk 文件将启动恶意软件并感染目标设备。
在攻击的初始阶段,黑客使用名为 PowerMagic 的基于 PowerShell 的后门来渗透系统。
PowerMagic具备多重威胁能力
进一步检查 PowerMagic 后门后,发现后门的主要部分是从位于 %APPDATA%\WinEventCom\config 的文件中读取的。然后使用简单的 XOR 算法对该文件进行解密。
解密后,后门进入无限循环,持续与其指定的命令和控制 (C&C) 服务器通信。后门然后从服务器接收命令并以上传的结果作为响应。
当PowerMagic成功与C&C服务器建立连接后,它就具备了执行任意命令的能力。这些执行命令的结果被泄露到 Dropbox 和 Microsoft OneDrive 等云服务中。
然而,PowerMagic 的主要任务之一是为受感染的设备提供下一阶段的CommonMagic框架。 CommonMagic 是一种更复杂的恶意工具,能够执行特定任务。
