„PowerMagic“ yra kenkėjiškų programų sistemos, naudojamos prieš Ukrainą, dalis
Vykstant konfliktui tarp Rusijos ir Ukrainos, kelios organizacijos, veikiančios Donecke, Luganske ir Kryme, buvo nukreiptos į naują modulinę sistemą, vadinamą „CommonMagic“, kaip aktyvios kampanijos dalį. Tikslinės organizacijos apima vyriausybės, žemės ūkio ir transporto sektorių organizacijas. Šias atakas 2022 m. spalį aptiko Rusijos kibernetinio saugumo įmonė, kuri stebėjo veiklos klasterį pavadinimu „Bloga magija“.
Manoma, kad atakos prasidėjo nuo sukčiavimo kampanijų ar panašių metodų, kurių metu buvo naudojami slapti URL, vedantys į kenkėjišką ZIP archyvą, esantį pažeistame žiniatinklio serveryje. Šiame archyve yra apgaulės dokumentas ir kenkėjiškas LNK failas, kurį atidarius įdiegiamos užpakalinės durys, vadinamos PowerMagic.
Užpakalinės durys parašytos „PowerShell“ ir užmezga ryšį su nuotoliniu serveriu, leidžiančiu vykdyti savavališkas komandas ir išfiltruoti rezultatus į debesies paslaugas, tokias kaip „Dropbox“ ir „Microsoft OneDrive“. „PowerMagic“ taip pat naudojama diegti „CommonMagic“ sistemą, kuri yra vykdomųjų modulių rinkinys, skirtas sąveikauti su komandų ir valdymo (C2) serveriu, užšifruoti ir iššifruoti C2 srautą ir vykdyti papildinius. Du iki šiol atrasti papildiniai leidžia užfiksuoti ekrano kopijas ir rinkti dominančius failus iš prijungtų USB įrenginių.
Verta paminėti, kad mokslininkai nerado įrodymų, siejančių šią operaciją ir jos įrankius su kokiu nors žinomu grėsmės veikėju ar grupe. Kampanija galėjo būti nepastebėta daugiau nei pusantrų metų. Nors „CommonMagic“ kampanijoje naudojamos kenkėjiškos programos ir metodai gali būti laikomi ne itin pažangiais, verta paminėti debesies saugyklą kaip komandų ir valdymo infrastruktūrą. Tai pabrėžia, kaip geopolitika gali paveikti kibernetinės grėsmės kraštovaizdį.
Apskritai ši ataka išryškina poreikį būti budriems besivystančių kibernetinių grėsmių akivaizdoje, ypač regionuose, kur geopolitinė įtampa tokias grėsmes gali sustiprinti. Organizacijos turėtų išlikti budrios dėl galimų sukčiavimo kampanijų ir panašių metodų ir būti pasirengusios greitai ir veiksmingai reaguoti į bet kokius įtariamus kibernetinių atakų incidentus.