Οι ειδικοί ασφαλείας έχουν ανακαλύψει επιθέσεις από hackers που χρησιμοποιούν ένα νέο κακόβουλο framework με την ονομασία CommonMagic και ένα νέο backdoor γνωστό ως PowerMagic.
Και τα δύο κομμάτια malware χρησιμοποιούνται τουλάχιστον από τον Σεπτέμβριο του 2021 και στοχεύουν οργανισμούς στους τομείς της διοίκησης, της γεωργίας και των μεταφορών. Λέγεται ότι οι φορείς της επίθεσης στοχεύουν κυρίως στην κατασκοπεία.
Σύμφωνα με ερευνητές της Kaspersky, οι hackers που χρησιμοποιούν το CommonMagic ενδιαφέρονται τώρα να συλλέξουν δεδομένα από θύματα στο Ντόνετσκ, το Λούγκανσκ και την Κριμαία.
Δείτε επίσης: Mustang Panda hackers: Χρησιμοποιούν το νέο backdoor MQsTTang
Μόλις εισέλθουν στο δίκτυο των θυμάτων, οι εισβολείς μπορούν να χρησιμοποιήσουν ξεχωριστά plugins για να κλέψουν έγγραφα και αρχεία (DOC, DOCX, XLS, XLSX, RTF, ODT, ODS, ZIP, RAR, TXT, PDF) από συσκευές USB. Το κακόβουλο λογισμικό μπορεί επίσης να τραβήξει screenshots κάθε τρία δευτερόλεπτα χρησιμοποιώντας το Windows Graphics Device Interface (GDI) API.
Οι ερευνητές πιστεύουν ότι οι hackers ξεκινούν τις επιθέσεις με spear phishing emails ή μια παρόμοια μέθοδο για την παράδοση μιας διεύθυνσης URL που οδηγεί σε ένα αρχείο ZIP με ένα κακόβουλο αρχείο LNK.
Η Kaspersky λέει ότι η ενεργοποίηση του κακόβουλου LNK θα οδηγούσε στη μόλυνση του συστήματος με ένα άγνωστο μέχρι τώρα backdoor το οποίο ονομάστηκε PowerMagic (από μια συμβολοσειρά στον κώδικα του κακόβουλου λογισμικού).
Το backdoor επικοινωνεί με τον command and control (C2) server για να λαμβάνει οδηγίες και να ανεβάζει τα αποτελέσματα χρησιμοποιώντας φακέλους OneDrive και Dropbox.
Μετά τη μόλυνση από το PowerMagic, οι στόχοι μολύνθηκαν με CommonMagic framewrok, μια συλλογή κακόβουλων εργαλείων που επίσης είναι νέα και ανακαλύφθηκε τώρα από τους ερευνητές, κατά την εξέταση αυτών των επιθέσεων.
Δείτε επίσης: Η Saks Fifth Avenue παραβιάστηκε με Clop ransomware;
Το CommonMagic framework έχει πολλά modules που ξεκινούν ως αυτόνομα εκτελέσιμα και χρησιμοποιούν named pipes για επικοινωνία. Οι ερευνητές της Kaspersky διαπίστωσαν ότι οι hackers πίσω από το CommonMagic (και το PowerMagic) δημιούργησαν διαφορετικά modules για διάφορα tasks, συμπεριλαμβανομένης της επικοινωνίας με C2, της κρυπτογράφησης και της αποκρυπτογράφησης του traffic από τον διακομιστή εντολών, της κλοπή εγγράφως και της λήψης screenshots.
Η ανταλλαγή δεδομένων με το C2 γίνεται επίσης μέσω ενός φακέλου OneDrive.
Χρήση συνηθισμένων τακτικών
Το κακόβουλο λογισμικό και οι μέθοδοι που εμφανίζονται στις επιθέσεις CommonMagic δεν αποτελούν κάποια καινοτομία. Αρκετοί εγκληματίες του κυβερνοχώρου έχουν χρησιμοποιήσει κακόβουλα αρχεία LNK σε αρχεία ZIP. Για παράδειγμα, τον περασμένο μήνα αποκαλύφθηκε ένα νέο backdoor που ονομάζεται IceBreaker και παραδόθηκε επίσης από ένα κακόβουλο LNK σε ένα αρχείο ZIP.
Δείτε επίσης: Η ομάδα ransomware LockBit διεκδικεί τώρα την παραβίαση του Oakland
Ωστόσο, το πιο κοντινό στην τεχνική του CommonMagic είναι μια ομάδα που η Cisco Talos παρακολουθεί ως YoroTrooper, και που ασχολείται με κυβερνοκατασκοπεία χρησιμοποιώντας phishing μηνύματα που παραδίδουν κακόβουλα αρχεία LNK κλπ.
Οι ερευνητές της Kaspersky λένε ότι παρόλο που η νέα εκστρατεία CommonMagic χρησιμοποιεί συνηθισμένες τακτικές, είναι αρκετά επιτυχημένη. Ο Leonid Besverzhenko, ερευνητής ασφάλειας στην Ομάδα Παγκόσμιας Έρευνας και Ανάλυσης της Kaspersky, είπε στο BleepingComputer ότι το PowerMagic backdoor και το CommonMagic framework έχουν χρησιμοποιηθεί σε δεκάδες επιθέσεις.
Γενικά, τα backdoors αποτελούν μια μεγάλη απειλή, επειδή επιτρέπουν στους επιτιθέμενους απεριόριστη πρόσβαση σε δίκτυα χωρίς να απαιτείται έλεγχος ταυτότητας. Είναι σημαντικό για τις επιχειρήσεις που διαχειρίζονται δίκτυα με ευαίσθητα δεδομένα να επαγρυπνούν για την προστασία τους από τέτοιου είδους επιθέσεις, διασφαλίζοντας ότι τα συστήματά τους ενημερώνονται τακτικά και παρακολουθούνται για τυχόν ενδείξεις ύποπτης δραστηριότητας που μπορεί να υποδηλώνουν απόπειρα παραβίασης μέσω προσπάθειας εγκατάστασης backdoor.
Πηγή: www.bleepingcomputer.com