Bir APT kampanyasında daha önce bilinmeyen bir kötü amaçlı yazılım, Donetsk, Luhansk ve Kırım bölgelerindeki idari, tarım ve nakliye şirketlerinden veri çalıyor. Yeni arka kapı PowerMagic ve modüler çerçeve CommonMagic kullanılır.
Ekim 2022'de Kaspersky araştırmacıları, Rusya-Ukrayna savaş bölgesindeki kuruluşları hedef alan, devam etmekte olan bir Gelişmiş Kalıcı Tehdit (APT) kampanyası keşfetti. Kaspersky tarafından "CommonMagic" olarak adlandırılan casusluk kampanyası en az Eylül 2021'den beri aktif ve hedeflerinden veri toplamak için önceden bilinmeyen bir kötü amaçlı yazılım kullanıyor. Hedefler arasında Donetsk, Luhansk ve Kırım bölgelerindeki idari, tarım ve nakliye şirketleri yer alıyor.
Arka kapı PowerMagic saldırıları
APT saldırıları, "PowerMagic" adlı PowerShell tabanlı bir arka kapı ve yeni kötü amaçlı çerçeve "CommonMagic" kullanılarak yürütülür. İkincisi, USB aygıtlarından dosya çalmayı, veri toplamayı ve bunları saldırgana iletmeyi mümkün kılar. Ek olarak, çerçevenin modüler yapısı, yeni kötü amaçlı modüller aracılığıyla kötü amaçlı etkinliklerin eklenmesine izin verir.
Saldırı muhtemelen başlangıçta mızrakla kimlik avı veya benzer yöntemlerle gerçekleştirildi. Hedeflenen kişiler bir URL'ye yönlendirildi ve bu da kötü amaçlı bir sunucuda barındırılan bir ZIP arşivine yol açtı. Bu arşiv, hem PowerMagic arka kapısını sağlayan kötü amaçlı bir dosya hem de etkilenenleri içeriğin meşru olduğuna inandırmak için tasarlanmış, zararsız, aldatıcı bir belge içeriyordu. Kaspersky uzmanları, bölgeyle ilgili kuruluşların çeşitli kararnamelerine atıfta bulunan başlıklara sahip bu tür birkaç sahte arşiv keşfetti.
Spear phishing tarafından başlatılan eylemler
Bir kullanıcı arşivi indirip arşivdeki bağlantı dosyasına tıkladığında, dosyaya PowerMagic arka kapısı bulaşır. Arka kapı, genel bir bulut depolama hizmetindeki uzak bir klasörden komutlar alır, sunucudan gönderilen komutları yürütür ve yürütme sonuçlarını tekrar buluta yükler. Ayrıca PowerMagic, virüslü cihaz her başlatıldığında başlatılacak şekilde kendini sisteme yerleştirir.
Şu anda, bu kampanyada kullanılan kod ile önceden bilinen vakalardan elde edilen veriler arasında doğrudan bir ilişki kurulamaz. Ancak, kampanya hala aktif ve analiz devam ediyor. Sınırlı mağduriyet ve tematik cazibe göz önüne alındığında, saldırganların çatışma bölgesindeki jeopolitik duruma özel bir ilgileri olması makul.
Kaspersky.com'da daha fazlası
Kaspersky Hakkında Kaspersky, 1997 yılında kurulmuş uluslararası bir siber güvenlik şirketidir. Kaspersky'nin derin tehdit istihbaratı ve güvenlik uzmanlığı, dünya çapında işletmeleri, kritik altyapıları, hükümetleri ve tüketicileri korumaya yönelik yenilikçi güvenlik çözümlerinin ve hizmetlerinin temelini oluşturur. Şirketin kapsamlı güvenlik portföyü, karmaşık ve gelişen siber tehditlere karşı savunma için lider uç nokta koruması ve bir dizi özel güvenlik çözümü ve hizmeti içerir. 400 milyondan fazla kullanıcı ve 250.000 kurumsal müşteri, Kaspersky teknolojileri tarafından korunmaktadır. www.kaspersky.com/ adresinde Kaspersky hakkında daha fazla bilgi