search icon

Τεχνολογία

Kaspersky: Αποκαλύπτει επιθέσεις APT σε οργανισμούς στην περιοχή συγκρούσεων Ρωσίας-Ουκρανίας

Η πλήρης αναφορά για την εκστρατεία CommonMagic στο Securelist

Τον Οκτώβριο του 2022, οι ερευνητές της Kaspersky ανακάλυψαν μια εξελισσόμενη εκστρατεία τύπου APT που στόχευε στην περιοχή που επλήγη από τη σύρραξη Ρωσίας-Ουκρανίας.

Με τίτλο “CommonMagic”, αυτή η εκστρατεία κατασκοπείας λειτουργεί τουλάχιστον από τον Σεπτέμβριο του 2021 χρησιμοποιώντας άγνωστο κακόβουλο λογισμικό για τη συλλογή πληροφοριών από τους στόχους της. Οι στόχοι περιλαμβάνουν οργανισμούς διοίκησης, γεωργίας και μεταφορών που βρίσκονται στις περιοχές Ντονέτσκ, Λουγκάνσκ και Κριμαία.

Οι επιθέσεις εκτελούνται με τη χρήση ενός PowerShell-based backdoor με την ονομασία PowerMagic και ενός νέου κακόβουλου πλαισίου που ονομάζεται CommonMagic. Το τελευταίο έχει τη δυνατότητα να κλέβει αρχεία από συσκευές USB, να συλλέγει δεδομένα και να τα στέλνει στον εισβολέα. Ωστόσο, το δυναμικό της δεν περιορίζεται σε αυτές τις δύο λειτουργίες, καθώς η δομή των πλαισίων επιτρέπει την εισαγωγή επιπλέον κακόβουλων δραστηριοτήτων μέσω νέων κακόβουλων ενοτήτων.

Οι επιθέσεις πιθανώς ξεκίνησαν μέσω “spear phishing” ή παρόμοιων μεθόδων όπως υποδεικνύεται από τα επόμενα βήματα στην αλυσίδα μολύνσεων. Οι στόχοι οδηγήθηκαν σε μια διεύθυνση URL, η οποία με τη σειρά της οδήγησε σε ένα αρχείο ZIP που φιλοξενείται σε έναν κακόβουλο server. Το αρχείο περιείχε ένα κακόβουλο αρχείο που ανέπτυξε το backdoor του PowerMagic και ένα φαινομενικά αθώο έγγραφο που είχε σκοπό να παραπλανήσει τα θύματα ώστε να πιστέψουν ότι το περιεχόμενο ήταν νόμιμο. Η Kaspersky ανακάλυψε μια σειρά από τέτοια αρχεία με τίτλους που παραπέμπουν σε διάφορα διατάγματα οργανισμών που σχετίζονται με τις περιοχές.

Έγγραφο – δόλωμα (θέμα: Αποτελέσματα των εκλογών της κρατικής Δούμας στη Δημοκρατία της Κριμαίας)

Μόλις το θύμα κάνει λήψη του αρχείου και κάνει κλικ στη συντόμευση του αρχείου, θα μολυνθεί από το PowerMagic backdoor. Το backdoor λαμβάνει εντολές από έναν απομακρυσμένο φάκελο που βρίσκεται σε μια δημόσια υπηρεσία αποθήκευσης στο cloud, εκτελώντας εντολές που αποστέλλονται από τον server και, στη συνέχεια, αποστέλλει τα αποτελέσματα της εκτέλεσης πίσω στο cloud. Το PowerMagic έχει επίσης ρυθμιστεί στο σύστημα ώστε να εκκινείτε συνεχώς και αυτόματα κατά την ενεργοποίηση της μολυσμένης συσκευής.

 

Όλοι οι στόχοι του PowerMagic που παρατήρησε η Kaspersky μολύνθηκαν επίσης από ένα αρθρωτό πλαίσιο που ονομάστηκε CommonMagic. Αυτό δείχνει ότι το CommonMagic είναι πιθανό να αναπτυχθεί από το PowerMagic, αν και δεν είναι σαφές από τα διαθέσιμα δεδομένα πώς λαμβάνει χώρα η μόλυνση.

Το πλαίσιο του CommonMagic αποτελείται από πολλές ενότητες. Κάθε λειτουργική ενότητα του πλαισίου είναι ένα εκτελέσιμο αρχείο που εκκινείτε με ξεχωριστή διαδικασία, με δυνατότητα επικοινωνίας μεταξύ των ενοτήτων.
Το πλαίσιο έχει τη δυνατότητα να κλέβει αρχεία από συσκευές USB, καθώς και να λαμβάνει στιγμιότυπα οθόνης κάθε τρία δευτερόλεπτα και να τα στέλνει στον εισβολέα.

Αλυσίδα μολύνσεων του πλαισίου CommonMagic

Κατά τη στιγμή της σύνταξης του παρόντος κειμένου, δεν υπάρχουν άμεσοι δεσμοί μεταξύ του κώδικα και των δεδομένων που χρησιμοποιούνται σε αυτήν την καμπάνια και άλλων που έχουν εντοπιστεί παλαιότερα. Ωστόσο, δεδομένου ότι η εκστρατεία είναι ακόμη ενεργή και η έρευνα βρίσκεται ακόμη σε εξέλιξη, είναι πιθανό να υπάρξουν περαιτέρω πληροφορίες που θα αποκαλυφθούν από πρόσθετες έρευνες οι οποίες θα μπορέσουν να αποτελέσουν αρωγό στην απόδοση της εκστρατείας σε συγκεκριμένο απειλητικό φορέα. Τα περιορισμένα θύματα και η «θεματολογία» των δολωμάτων δείχνουν ότι οι δράστες ενδέχεται να έχουν ιδιαίτερο ενδιαφέρον για τη γεωπολιτική κατάσταση στην περιοχή αυτή.

«Η γεωπολιτική επηρεάζει πάντα το τοπίο των απειλών στον κυβερνοχώρο και οδηγεί στην εμφάνιση νέων απειλών. Παρακολουθούμε τις δραστηριότητες που συνδέονται με τη σύγκρουση Ρωσίας-Ουκρανίας εδώ και αρκετό καιρό, και αυτή είναι μια από τις τελευταίες ανακαλύψεις μας. Αν και το κακόβουλο λογισμικό και οι τεχνικές που χρησιμοποιούνται στην εκστρατεία CommonMagic δεν είναι ιδιαίτερα εξελιγμένα, η χρήση του χώρου αποθήκευσης στο cloud ως υποδομής ελέγχου και χειρισμού είναι αξιοσημείωτη. Θα συνεχίσουμε την έρευνά μας και ελπίζουμε ότι θα μπορέσουμε να μοιραστούμε περισσότερες πληροφορίες για αυτήν την εκστρατεία», σχολιάζει ο Leonid Besverzhenko, ερευνητής ασφάλειας στην Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky (GReAT).

Διαβάστε την πλήρη αναφορά για την εκστρατεία CommonMagic στο Securelist.

Προκειμένου να αποφύγετε να πέσετε θύμα στοχευμένης επίθεσης, είτε από γνωστό, είτε άγνωστο απειλητικό φορέα, οι ερευνητές της Kaspersky συνιστούν την εφαρμογή των παρακάτω μέτρων:

Διαβάστε ακόμη

 

Mείωση κατά 16% στο βασικό τιμολόγιο της ΔΕΗ για τον Απρίλιο – Τι ανακοίνωσαν οι προμηθευτές ενέργειας

Το Μαξίμου σταματάει (για λίγο) τα γκάλοπ, το ΠΑΣΟΚ μετράει τη στρατηγική του, η έξωση του Καμπουρίδη, ο Γουάτσα και ο… Μίλκο

Credit Suisse: Πώς φτάσαμε στο άδοξο τέλος μίας τράπεζας με ιστορία 166 ετών (γράφημα)

Exit mobile version