Τον Οκτώβριο του 2022, οι ερευνητές της Kaspersky ανακάλυψαν μια εξελισσόμενη εκστρατεία τύπου APT που στόχευε στην περιοχή που επλήγη από τη σύρραξη Ρωσίας-Ουκρανίας. Με τίτλο «CommonMagic», αυτή η εκστρατεία κατασκοπείας λειτουργεί τουλάχιστον από τον Σεπτέμβριο του 2021 χρησιμοποιώντας άγνωστο κακόβουλο λογισμικό για τη συλλογή πληροφοριών από τους στόχους της. Οι στόχοι περιλαμβάνουν οργανισμούς διοίκησης, γεωργίας και μεταφορών που βρίσκονται στις περιοχές Ντονέτσκ, Λουγκάνσκ και Κριμαία.
Οι επιθέσεις εκτελούνται με τη χρήση ενός PowerShell-based backdoor με την ονομασία PowerMagic και ενός νέου κακόβουλου πλαισίου που ονομάζεται CommonMagic. Το τελευταίο έχει τη δυνατότητα να κλέβει αρχεία από συσκευές USB, να συλλέγει δεδομένα και να τα στέλνει στον εισβολέα. Ωστόσο, το δυναμικό της δεν περιορίζεται σε αυτές τις δύο λειτουργίες, καθώς η δομή των πλαισίων επιτρέπει την εισαγωγή επιπλέον κακόβουλων δραστηριοτήτων μέσω νέων κακόβουλων ενοτήτων.
Οι Έλληνες εμφανίζονται σίγουροι για τις γνώσεις τους γύρω από το phishing
Πώς λειτουργεί
Οι επιθέσεις πιθανώς ξεκίνησαν μέσω «spear phishing» ή παρόμοιων μεθόδων όπως υποδεικνύεται από τα επόμενα βήματα στην αλυσίδα μολύνσεων. Οι στόχοι οδηγήθηκαν σε μια διεύθυνση URL, η οποία με τη σειρά της οδήγησε σε ένα αρχείο ZIP που φιλοξενείται σε έναν κακόβουλο server. Το αρχείο περιείχε ένα κακόβουλο αρχείο που ανέπτυξε το backdoor του PowerMagic και ένα φαινομενικά αθώο έγγραφο που είχε σκοπό να παραπλανήσει τα θύματα ώστε να πιστέψουν ότι το περιεχόμενο ήταν νόμιμο. Η Kaspersky ανακάλυψε μια σειρά από τέτοια αρχεία με τίτλους που παραπέμπουν σε διάφορα διατάγματα οργανισμών που σχετίζονται με τις περιοχές.
Μόλις το θύμα κάνει λήψη του αρχείου και κάνει κλικ στη συντόμευση του αρχείου, θα μολυνθεί από το PowerMagic backdoor. Το backdoor λαμβάνει εντολές από έναν απομακρυσμένο φάκελο που βρίσκεται σε μια δημόσια υπηρεσία αποθήκευσης στο cloud, εκτελώντας εντολές που αποστέλλονται από τον server και, στη συνέχεια, αποστέλλει τα αποτελέσματα της εκτέλεσης πίσω στο cloud. Το PowerMagic έχει επίσης ρυθμιστεί στο σύστημα ώστε να εκκινείτε συνεχώς και αυτόματα κατά την ενεργοποίηση της μολυσμένης συσκευής.
Όλοι οι στόχοι του PowerMagic που παρατήρησε η Kaspersky μολύνθηκαν επίσης από ένα αρθρωτό πλαίσιο που ονομάστηκε CommonMagic. Αυτό δείχνει ότι το CommonMagic είναι πιθανό να αναπτυχθεί από το PowerMagic, αν και δεν είναι σαφές από τα διαθέσιμα δεδομένα πώς λαμβάνει χώρα η μόλυνση.
Το πλαίσιο του CommonMagic αποτελείται από πολλές ενότητες. Κάθε λειτουργική ενότητα του πλαισίου είναι ένα εκτελέσιμο αρχείο που εκκινείτε με ξεχωριστή διαδικασία, με δυνατότητα επικοινωνίας μεταξύ των ενοτήτων.
Το πλαίσιο έχει τη δυνατότητα να κλέβει αρχεία από συσκευές USB, καθώς και να λαμβάνει στιγμιότυπα οθόνης κάθε τρία δευτερόλεπτα και να τα στέλνει στον εισβολέα.
Κατά τη στιγμή της σύνταξης της αναφοράς της Kaspersky, δεν υπήρχαν άμεσοι δεσμοί μεταξύ του κώδικα και των δεδομένων που χρησιμοποιούνται σε αυτήν την καμπάνια και άλλων που έχουν εντοπιστεί παλαιότερα. Ωστόσο, δεδομένου ότι η εκστρατεία είναι ακόμη ενεργή και η έρευνα βρίσκεται ακόμη σε εξέλιξη, είναι πιθανό να υπάρξουν περαιτέρω πληροφορίες που θα αποκαλυφθούν από πρόσθετες έρευνες οι οποίες θα μπορέσουν να αποτελέσουν αρωγό στην απόδοση της εκστρατείας σε συγκεκριμένο απειλητικό φορέα. Τα περιορισμένα θύματα και η «θεματολογία» των δολωμάτων δείχνουν ότι οι δράστες ενδέχεται να έχουν ιδιαίτερο ενδιαφέρον για τη γεωπολιτική κατάσταση στην περιοχή αυτή.
στο Google News και μάθετε πρώτοι όλες τις ειδήσειςLatest News
Γιατί είναι τόσο ακριβή η τεχνητή νοημοσύνη
Η Microsoft και η Google της Alphabet ανέφεραν αυξημένα έσοδα στο cloud
Το άγνωστο «κόλπο» στα iPhone με το διπλό άγγιγμα
Πρόκειται για τη ρύθμιση Back Tap ή διπλό άγγιγμα
H Google μπροστά στην αντιμονοπωλιακή νομοθεσία των ΗΠΑ - Πώς εξελίσσεται η δίκη
Από τις 12 Σεπτεμβρίου, οι αμερικανικές αρχές προσπαθούν να αποδείξουν πώς ο γίγαντας των μηχανών αναζήτησης είναι μονοπώλιο που καταχράστηκε παράνομα τη δύναμή του για να αυξήσει τα κέρδη του
Εγκαινιάζεται νέα γραμμή παραγωγής για ρωσικά smartphones
Οι συσκευές είναι ήδη διαθέσιμες για παραγγελία, αναφέρει το πρακτορειο Tass
Ακόλουθος των ΗΠΑ και στο TikTok η Ευρώπη; – Στο «τραπέζι» η απαγόρευσή του
«Γνωρίζουμε ακριβώς τον κίνδυνο του TikTok», είπε η Ούρσουλα φον ντερ Λάιεν, σχεδόν μια εβδομάδα αφότου ο Τζο Μπάιντεν υπέγραψε την αμερικανική νομοθεσία που απειλεί με πανεθνική απαγόρευση
Στόχος Ρώσων χάκερς το κόμμα του Όλαφ Σολτς - Με αντίποινα απειλεί το Βερολίνο
Πίσω από την επίθεση κρύβεται η ομάδα APT28, η οποία ελέγχεται από τη ρωσική μυστική υπηρεσία
Καμία βιασύνη για την Apple - Πλησιάζει η ώρα της ΑΙ
H εταιρεία αναμένεται να αποκαλύψει τις νέες δυνατότητες τεχνητής νοημοσύνης στο ετήσιο συνέδριο λογισμικού της τον επόμενο μήνα, όπως και να αναθεωρήσει τις σειρές προϊόντων της με τσιπ έτοιμα για AI
Σελήνη: Κινεζική αποστολή αναχώρησε για τα πρώτα δείγματα από την αθέατη πλευρά
Το ρομποτικό σκάφος Chang’e-6 που εκτοξεύτηκε την Παρασκευή θα επιχειρήσει προσσελήνωση τον Ιούλιο.
Γερμανίδα ΥΠΕΞ: Η Ρωσία θα υποστεί συνέπειες για την κυβερνοεπίθεση του 2023
Τον Ιανουάριο του 2023, το Βερολίνο δήλωσε ότι Ρώσοι ακτιβιστές χάκερ έθεσαν εκτός δικτύου αρκετούς γερμανικούς ιστότοπους σε αντίποινα για την απόφασή του να στείλει άρματα μάχης στην Ουκρανία.
Βuyback μετοχών ρεκόρ ύψους 110 δισ. δολ. ανακοίνωσε η Apple
Ελαφρώς καλύτερα από τα αναμενόμενα τα αποτελέσματα τριμήνου
