एपीटी अभियान में पहले से अज्ञात मैलवेयर डोनेट्स्क, लुहांस्क और क्रीमिया क्षेत्रों में प्रशासनिक, कृषि और परिवहन कंपनियों से डेटा चुराता है। नए बैकडोर पॉवरमैजिक और मॉड्यूलर फ्रेमवर्क कॉमनमैजिक का उपयोग किया जाता है।
अक्टूबर 2022 में, कास्परस्की के शोधकर्ताओं ने रूसी-यूक्रेनी युद्ध क्षेत्र में संगठनों को लक्षित करने वाले एक उन्नत परसिस्टेंट थ्रेट (APT) अभियान की खोज की। Kaspersky द्वारा डब किया गया 'कॉमनमैजिक', जासूसी अभियान कम से कम सितंबर 2021 से सक्रिय है और अपने लक्ष्यों से डेटा एकत्र करने के लिए पहले अज्ञात मैलवेयर का उपयोग करता है। लक्ष्यों में डोनेट्स्क, लुहांस्क और क्रीमिया क्षेत्रों में प्रशासनिक, कृषि और परिवहन कंपनियां शामिल हैं।
बैकडोर पॉवरमैजिक अटैक
एपीटी हमलों को 'पॉवरमैजिक' नामक पॉवरशेल-आधारित पिछले दरवाजे और नए दुर्भावनापूर्ण ढांचे 'कॉमनमैजिक' का उपयोग करके निष्पादित किया जाता है। उत्तरार्द्ध USB उपकरणों से फ़ाइलों को चोरी करना, डेटा एकत्र करना और उन्हें हमलावर को अग्रेषित करना संभव बनाता है। इसके अतिरिक्त, ढांचे की मॉड्यूलर संरचना नए दुर्भावनापूर्ण मॉड्यूल के माध्यम से दुर्भावनापूर्ण गतिविधियों को जोड़ने की अनुमति देती है।
हमले को संभवतः भाला फ़िशिंग या इसी तरह के तरीकों का उपयोग करके शुरू किया गया था। लक्षित व्यक्तियों को एक यूआरएल पर निर्देशित किया गया था, जिसके बदले में एक दुर्भावनापूर्ण सर्वर पर एक ज़िप संग्रह होस्ट किया गया था। इस संग्रह में एक दुर्भावनापूर्ण फ़ाइल थी जो PowerMagic पिछले दरवाजे और एक हानिरहित भ्रामक दस्तावेज़ प्रदान करती थी, जो सामग्री को वैध मानने से प्रभावित लोगों को धोखा देने के लिए डिज़ाइन किया गया था। Kaspersky के विशेषज्ञों ने इस क्षेत्र में प्रासंगिक संगठनों के विभिन्न फरमानों का जिक्र करते हुए ऐसे कई नकली अभिलेखागार की खोज की।
स्पीयर फ़िशिंग ने कार्रवाई शुरू की
एक बार जब कोई उपयोगकर्ता संग्रह को डाउनलोड करता है और संग्रह में लिंक फ़ाइल पर क्लिक करता है, तो यह PowerMagic पिछले दरवाजे से संक्रमित हो जाता है। बैकडोर एक सार्वजनिक क्लाउड स्टोरेज सेवा पर एक दूरस्थ फ़ोल्डर से आदेश प्राप्त करता है, सर्वर से भेजे गए आदेशों को निष्पादित करता है, और फिर निष्पादन परिणामों को वापस क्लाउड पर अपलोड करता है। इसके अलावा, PowerMagic खुद को सिस्टम में इस तरह से एम्बेड करता है कि यह हर बार संक्रमित डिवाइस के शुरू होने पर लॉन्च हो जाता है।
इस समय, इस अभियान में उपयोग किए गए कोड और पहले से ज्ञात मामलों के डेटा के बीच कोई सीधा संबंध स्थापित नहीं किया जा सकता है। हालाँकि, अभियान अभी भी सक्रिय है और विश्लेषण जारी है। सीमित विक्टिमोलॉजी और विषयगत प्रलोभनों को देखते हुए, यह प्रशंसनीय है कि हमलावरों की संघर्ष क्षेत्र में भू-राजनीतिक स्थिति में विशेष रुचि है।
Kaspersky.com पर अधिक
Kaspersky के बारे में Kaspersky 1997 में स्थापित एक अंतरराष्ट्रीय साइबर सुरक्षा कंपनी है। Kaspersky की डीप थ्रेट इंटेलिजेंस और सुरक्षा विशेषज्ञता दुनिया भर में व्यवसायों, महत्वपूर्ण बुनियादी ढांचे, सरकारों और उपभोक्ताओं की सुरक्षा के लिए नवीन सुरक्षा समाधानों और सेवाओं की नींव के रूप में कार्य करती है। कंपनी के व्यापक सुरक्षा पोर्टफोलियो में जटिल और उभरते साइबर खतरों से बचाव के लिए अग्रणी एंडपॉइंट सुरक्षा और विशेष सुरक्षा समाधानों और सेवाओं की एक श्रृंखला शामिल है। 400 मिलियन से अधिक उपयोगकर्ता और 250.000 कॉर्पोरेट ग्राहक Kaspersky प्रौद्योगिकियों द्वारा सुरक्षित हैं। www.kaspersky.com/ पर Kaspersky के बारे में अधिक जानकारी