Με αμείωτη ένταση συνεχίζονται οι κυβερνο-επιθέσεις με επίκεντρο τον ρωσο-ουκρανικό πόλεμο. Τον Οκτώβριο του 2022, οι ερευνητές της Kaspersky ανακάλυψαν μια εξελισσόμενη εκστρατεία τύπου APT που στόχευε στην περιοχή που επλήγη από τη σύρραξη Ρωσίας-Ουκρανίας. 

Με αμείωτη ένταση συνεχίζονται οι κυβερνο-επιθέσεις με επίκεντρο τον ρωσο-ουκρανικό πόλεμοΜε τίτλο “CommonMagic”, αυτή η εκστρατεία κατασκοπείας λειτουργεί τουλάχιστον από τον Σεπτέμβριο του 2021, χρησιμοποιώντας άγνωστο κακόβουλο λογισμικό για τη συλλογή πληροφοριών από τους στόχους της. Οι στόχοι περιλαμβάνουν οργανισμούς διοίκησης, γεωργίας και μεταφορών που βρίσκονται στις περιοχές Ντονέτσκ, Λουγκάνσκ και Κριμαία. 

Οι επιθέσεις εκτελούνται με τη χρήση ενός PowerShell-based backdoor με την ονομασία PowerMagic και ενός νέου κακόβουλου πλαισίου που ονομάζεται CommonMagic. Το τελευταίο έχει τη δυνατότητα να κλέβει αρχεία από συσκευές USB, να συλλέγει δεδομένα και να τα στέλνει στον εισβολέα. 

Ωστόσο, το δυναμικό της δεν περιορίζεται σε αυτές τις δύο λειτουργίες, καθώς η δομή των πλαισίων επιτρέπει την εισαγωγή επιπλέον κακόβουλων δραστηριοτήτων μέσω νέων κακόβουλων ενοτήτων. 

Οι επιθέσεις πιθανώς ξεκίνησαν μέσω “spear phishing” ή παρόμοιων μεθόδων όπως υποδεικνύεται από τα επόμενα βήματα στην αλυσίδα μολύνσεων. Οι στόχοι οδηγήθηκαν σε μια διεύθυνση URL, η οποία με τη σειρά της οδήγησε σε ένα αρχείο ZIP που φιλοξενείται σε έναν κακόβουλο server. 

Το αρχείο περιείχε ένα κακόβουλο αρχείο που ανέπτυξε το backdoor του PowerMagic και ένα φαινομενικά αθώο έγγραφο που είχε σκοπό να παραπλανήσει τα θύματα ώστε να πιστέψουν ότι το περιεχόμενο ήταν νόμιμο. Η Kaspersky ανακάλυψε μια σειρά από τέτοια αρχεία με τίτλους που παραπέμπουν σε διάφορα διατάγματα οργανισμών που σχετίζονται με τις περιοχές. 

Πώς δρα
Μόλις το θύμα κάνει λήψη του αρχείου και κάνει κλικ στη συντόμευση του αρχείου, θα μολυνθεί από το PowerMagic backdoor. Όλοι οι στόχοι του PowerMagic που παρατήρησε η Kaspersky μολύνθηκαν επίσης από ένα αρθρωτό πλαίσιο που ονομάστηκε CommonMagic. 

Αυτό δείχνει ότι το CommonMagic είναι πιθανό να αναπτυχθεί από το PowerMagic, αν και δεν είναι σαφές από τα διαθέσιμα δεδομένα πώς λαμβάνει χώρα η μόλυνση. 

Το πλαίσιο του CommonMagic αποτελείται από πολλές ενότητες. Κάθε λειτουργική ενότητα του πλαισίου είναι ένα εκτελέσιμο αρχείο που εκκινείτε με ξεχωριστή διαδικασία, με δυνατότητα επικοινωνίας μεταξύ των ενοτήτων. 

Το πλαίσιο έχει τη δυνατότητα να κλέβει αρχεία από συσκευές USB, καθώς και να λαμβάνει στιγμιότυπα οθόνης κάθε τρία δευτερόλεπτα και να τα στέλνει στον εισβολέα. 

«Η γεωπολιτική επηρεάζει πάντα το τοπίο των απειλών στον κυβερνοχώρο και οδηγεί στην εμφάνιση νέων απειλών. Παρακολουθούμε τις δραστηριότητες που συνδέονται με τη σύγκρουση Ρωσίας-Ουκρανίας εδώ και αρκετό καιρό. Αν και το κακόβουλο λογισμικό και οι τεχνικές που χρησιμοποιούνται στην εκστρατεία CommonMagic δεν είναι ιδιαίτερα εξελιγμένα, η χρήση του χώρου αποθήκευσης στο cloud ως υποδομής ελέγχου και χειρισμού είναι αξιοσημείωτη» αναφέρει η Kaspersky (GReAT).