Раніше невідоме зловмисне програмне забезпечення в рамках кампанії APT викрадає дані адміністративних, сільськогосподарських і транспортних компаній у Донецькій, Луганській та Кримській областях. Використовується новий бекдор PowerMagic і модульний фреймворк CommonMagic.
У жовтні 2022 року дослідники Касперського виявили триваючу кампанію Advanced Persistent Threat (APT), націлену на організації в російсько-українській зоні бойових дій. Шпигунська кампанія, названа Касперським «CommonMagic», триває принаймні з вересня 2021 року та використовує раніше невідоме шкідливе програмне забезпечення для збору даних від своїх цілей. Цілі включають адміністративні, сільськогосподарські та транспортні підприємства в Донецькій, Луганській та Кримській областях.
Бекдорні атаки PowerMagic
APT-атаки виконуються за допомогою бекдора на основі PowerShell під назвою «PowerMagic» і нового шкідливого фреймворку «CommonMagic». Останній дає змогу викрадати файли з USB-пристроїв, збирати дані та пересилати їх зловмиснику. Крім того, модульна структура фреймворку дозволяє додавати шкідливі дії за допомогою нових шкідливих модулів.
Ймовірно, спочатку атака була здійснена за допомогою фішингу або подібних методів. Цільові особи були спрямовані на URL-адресу, яка, у свою чергу, призвела до ZIP-архіву, розміщеного на шкідливому сервері. Цей архів містив як шкідливий файл, який створював бекдор PowerMagic, так і нешкідливий оманливий документ, створений для того, щоб обманом змусити постраждалих повірити в законність вмісту. Фахівці Kaspersky виявили низку таких архівів-приманок із заголовками, що відсилають до різних постанов організацій, що діють у регіоні.
Дії, ініційовані фішингом
Коли користувач завантажує архів і натискає файл посилання в архіві, він заражається бекдором PowerMagic. Бекдор отримує команди з віддаленої папки в загальнодоступній хмарній службі зберігання, виконує команди, надіслані з сервера, а потім завантажує результати виконання назад у хмару. Крім того, PowerMagic вбудовується в систему таким чином, що запускається кожного разу, коли запускається заражений пристрій.
Наразі неможливо встановити прямий зв’язок між кодом, використаним у цій кампанії, та даними з раніше відомих випадків. Проте кампанія все ще активна, і аналіз триває. Враховуючи обмежену віктимологію та тематичні приманки, цілком імовірно, що зловмисники мають особливий інтерес до геополітичної ситуації в регіоні конфлікту.
Більше на Kaspersky.com
Про Касперського Kaspersky — міжнародна компанія з кібербезпеки, заснована в 1997 році. Глибокий досвід Kaspersky у сфері аналізу загроз і безпеки служить основою для інноваційних рішень і послуг безпеки для захисту бізнесу, критичної інфраструктури, урядів і споживачів у всьому світі. Комплексне портфоліо безпеки компанії включає провідний захист кінцевих точок і низку спеціалізованих рішень і послуг безпеки для захисту від складних і нових кіберзагроз. Понад 400 мільйонів користувачів і 250.000 XNUMX корпоративних клієнтів захищені технологіями Касперського. Більше інформації про Kaspersky на www.kaspersky.com/