魔力

最近的研究揭露了一項新的網絡間諜活動，該活動針對的是在目前被俄羅斯佔領的烏克蘭地區內運營的政府機構和其他組織。該活動利用了兩種截然不同且以前未知的惡意軟件變種，它們被稱為 PowerMagic 和 CommonMagic。

攻擊者利用這些惡意軟件從屬於位於頓涅茨克、盧甘斯克和克里米亞地區的實體的目標設備竊取數據。這種間諜活動的目標包括政府機構以及農業和運輸組織。

鑑於該地區持續不斷的衝突，這次最新的網絡間諜活動很可能是烏克蘭和俄羅斯之間更大規模網絡衝突的一部分。

攻擊者使用網絡釣魚電子郵件和誘餌文件

此事件背後的攻擊者通過使用網絡釣魚電子郵件傳播惡意軟件，其中包含指向託管在具有惡意意圖的服務器上的 .zip 存檔的超鏈接。

.zip 檔案由兩個文件組成：一個偽裝成官方法令的文件——示例包括與克里米亞議會選舉或頓涅茨克預算規劃相關的通知——以及一個惡意的 .lnk 文件。打開後，此 .lnk 文件將啟動惡意軟件並感染目標設備。

在攻擊的初始階段，黑客使用名為 PowerMagic 的基於 PowerShell 的後門來滲透系統。

PowerMagic具備多重威脅能力

進一步檢查 PowerMagic 後門後，發現後門的主要部分是從位於 %APPDATA%\WinEventCom\config 的文件中讀取的。然後使用簡單的 XOR 算法對該文件進行解密。

解密後，後門進入無限循環，持續與其指定的命令和控制 (C&C) 服務器通信。後門然後從服務器接收命令並以上傳的結果作為響應。

當PowerMagic成功與C&C服務器建立連接後，它就具備了執行任意命令的能力。這些執行命令的結果被洩露到 Dropbox 和 Microsoft OneDrive 等雲服務中。

然而，PowerMagic 的主要任務之一是為受感染的設備提供下一階段的CommonMagic框架。 CommonMagic 是一種更複雜的惡意工具，能夠執行特定任務。