PowerMagie

Jüngste Untersuchungen haben eine neue Cyberspionagekampagne aufgedeckt, die sich an Regierungsbehörden und andere Organisationen richtet, die in Regionen der Ukraine tätig sind, die derzeit von Russland besetzt sind. Diese Kampagne verwendet zwei unterschiedliche und bisher unbekannte Malware-Stämme, die als PowerMagic und CommonMagic bezeichnet wurden.

Die Angreifer setzen diese Malware-Stämme ein, um Daten von den Zielgeräten zu stehlen, die zu Unternehmen gehören, die sich in den Regionen Donezk, Lugansk und Krim befinden. Zu den Zielen dieser Spionagekampagne gehören Regierungsbehörden sowie Landwirtschafts- und Transportunternehmen.

Angesichts des anhaltenden Konflikts in der Region erscheint es sehr wahrscheinlich, dass diese jüngste Cyberspionage-Kampagne Teil des größeren Cyber-Konflikts zwischen der Ukraine und Russland ist.

Die Angreifer verwenden Phishing-E-Mails und Lockdokumente

Die Angreifer hinter diesem Vorfall verbreiteten Malware, indem sie Phishing-E-Mails einsetzten, die einen Hyperlink zu einem ZIP-Archiv enthielten, das auf einem Server mit böswilliger Absicht gehostet wurde.

Das .zip-Archiv bestand aus zwei Dateien: einem Dokument, das als offizielles Dekret getarnt war – mit Beispielen wie Benachrichtigungen zu Parlamentswahlen auf der Krim oder Haushaltsplanung in Donezk – sowie einer bösartigen .lnk-Datei. Beim Öffnen würde diese .lnk-Datei die Malware initiieren und das Zielgerät infizieren.

In der Anfangsphase des Angriffs nutzten die Hacker eine PowerShell-basierte Backdoor namens PowerMagic, um in das System einzudringen.

PowerMagic ist mit mehreren Bedrohungsfunktionen ausgestattet

Bei weiterer Untersuchung der PowerMagic-Hintertür wurde festgestellt, dass der primäre Abschnitt der Hintertür aus der Datei gelesen wird, die sich unter %APPDATA%\WinEventCom\config befindet. Diese Datei wird dann durch die Verwendung eines einfachen XOR-Algorithmus entschlüsselt.

Nach der Entschlüsselung tritt die Hintertür in eine Endlosschleife ein, die kontinuierlich mit ihrem designierten Command and Control (C&C)-Server kommuniziert. Die Hintertür empfängt dann Befehle vom Server und antwortet mit hochgeladenen Ergebnissen.

Wenn PowerMagic erfolgreich eine Verbindung mit dem C&C-Server herstellt, kann es beliebige Befehle ausführen. Die Ergebnisse dieser ausgeführten Befehle werden an Cloud-Dienste wie Dropbox und Microsoft OneDrive exfiltriert.

Eine der Hauptaufgaben von PowerMagic besteht jedoch darin, den infizierten Geräten das CommonMagic- Framework der nächsten Stufe bereitzustellen. CommonMagic ist ein komplizierteres bösartiges Tool, das bestimmte Aufgaben ausführen kann.