Κυβερνοασφάλεια: Επιχειρήσεις τύπου APT CommonMagic σε Κεντρική και Δυτική Ουκρανία

Τον Μάρτιο του 2023, η Kaspersky ανέφερε μια νέα εκστρατεία APT στη Ρώσο-Ουκρανική περιοχή σύγκρουσης. Αυτή η εκστρατεία, με την ονομασία CommonMagic, χρησιμοποιεί εμφυτεύματα PowerMagic και CommonMagic για τη διεξαγωγή δραστηριοτήτων κατασκοπείας. Ενεργή από τον Σεπτέμβριο του 2021, χρησιμοποιεί ένα προηγουμένως μη αναγνωρισμένο κακόβουλο λογισμικό για τη συλλογή δεδομένων από τους οργανισμούς που στοχοποιεί. Αν και ο απειλητικός φορέας που ευθύνεται για αυτήν την επίθεση παρέμενε άγνωστος εκείνη τη χρονική στιγμή, οι ειδικοί της Kaspersky επέμειναν στην έρευνά τους, εντοπίζοντας την άγνωστη δραστηριότητα σε ξεχασμένες εκστρατείες προκειμένου να συγκεντρώσουν περαιτέρω πληροφορίες.

Η εκστρατεία που αποκαλύφθηκε πρόσφατα χρησιμοποιούσε ένα αρθρωτό πλαίσιο που ονομάζεται CloudWizard. Η έρευνα της Kaspersky εντόπισε συνολικά 9 λειτουργικές μονάδες σε αυτό το πλαίσιο, καθεμία υπεύθυνη για διακριτές κακόβουλες δραστηριότητες όπως η συλλογή αρχείων, η καταγραφή πληκτρολογήσεων, η λήψη στιγμιότυπων οθόνης, η καταγραφή εισόδου μικροφώνου και η κλοπή κωδικών πρόσβασης.

Πόσο κοστίζει ένα βίντεο deepfake στο dark web

Συγκεκριμένα, μία από τις ενότητες εστιάζει στην εξαγωγή δεδομένων από λογαριασμούς Gmail. Με την εξαγωγή των cookies του Gmail από τις βάσεις δεδομένων του προγράμματος πλοήγησης, αυτή η ενότητα μπορεί να έχει πρόσβαση και να μεταφέρει παράνομα αρχεία καταγραφής δραστηριοτήτων, λίστες επαφών και όλα τα μηνύματα email που σχετίζονται με τους στοχοποιημένους λογαριασμούς.

Επιπλέον, οι ερευνητές ανακάλυψαν μια διευρυμένη λίστα θυμάτων στην εκστρατεία. Ενώ οι προηγούμενοι στόχοι βρίσκονταν κυρίως στις περιοχές του Ντόνετσκ, του Λουχάνσκ και της Κριμαίας, το πεδίο εφαρμογής έχει πλέον διευρυνθεί ώστε να περιλαμβάνει άτομα και διπλωματικούς και ερευνητικούς οργανισμούς στη Δυτική και Κεντρική Ουκρανία.

Μετά από εκτεταμένη έρευνα του CloudWizard, οι ειδικοί της Kaspersky έχουν σημειώσει σημαντική πρόοδο στην απόδοσή του σε έναν γνωστό απειλητικό φορέα. Παρατήρησαν αξιοσημείωτες ομοιότητες μεταξύ του CloudWizard και δύο προηγουμένως καταγεγραμμένων εκστρατειών: των Operation Groundbait και Operation BugDrop. Αυτές οι ομοιότητες περιλαμβάνουν ομοιότητες κώδικα, μοτίβα ονομασίας και καταχώρισης αρχείων, Ουκρανικές υπηρεσίες hosting και κοινά προφίλ θυμάτων στη Δυτική και Κεντρική Ουκρανία, καθώς και στην περιοχή των συγκρούσεων στην Ανατολική Ευρώπη.

Το CloudWizard παρουσιάζει επίσης ομοιότητες με την πρόσφατα αναφερθείσα εκστρατεία CommonMagic. Ορισμένες ενότητες του κώδικα είναι πανομοιότυπες, χρησιμοποιούν την ίδια βιβλιοθήκη κρυπτογράφησης, ακολουθούν παρόμοια μορφή ονομασίας αρχείων και μοιράζονται τοποθεσίες θυμάτων εντός της περιοχής συγκρούσεων της Ανατολικής Ευρώπης.

Με βάση αυτά τα ευρήματα, οι ειδικοί της Kaspersky κατέληξαν στο συμπέρασμα ότι οι κακόβουλες εκστρατείες των Prikormka, Operation Groundbait, Operation BugDrop, CommonMagic και CloudWizard μπορούν όλες να αποδοθούν στον ίδιο ενεργό απειλητικό φορέα.

Διαβάστε την πλήρη αναφορά σχετικά με την εκστρατεία CloudWizard στο Securelist.