Τον Οκτώβριο του 2022, οι ερευνητές της Kaspersky ανακάλυψαν μια εξελισσόμενη εκστρατεία τύπου APT που στόχευε στην περιοχή που επλήγη από τη σύρραξη Ρωσίας-Ουκρανίας. Με τίτλο «CommonMagic», αυτή η εκστρατεία κατασκοπείας λειτουργεί τουλάχιστον από τον Σεπτέμβριο του 2021 χρησιμοποιώντας άγνωστο κακόβουλο λογισμικό για τη συλλογή πληροφοριών από τους στόχους της. Οι στόχοι περιλαμβάνουν οργανισμούς διοίκησης, γεωργίας και μεταφορών που βρίσκονται στις περιοχές Ντονέτσκ, Λουγκάνσκ και Κριμαία.
Οι επιθέσεις εκτελούνται με τη χρήση ενός PowerShell-based backdoor με την ονομασία PowerMagic και ενός νέου κακόβουλου πλαισίου που ονομάζεται CommonMagic. Το τελευταίο έχει τη δυνατότητα να κλέβει αρχεία από συσκευές USB, να συλλέγει δεδομένα και να τα στέλνει στον εισβολέα. Ωστόσο, το δυναμικό της δεν περιορίζεται σε αυτές τις δύο λειτουργίες, καθώς η δομή των πλαισίων επιτρέπει την εισαγωγή επιπλέον κακόβουλων δραστηριοτήτων μέσω νέων κακόβουλων ενοτήτων.
Οι Έλληνες εμφανίζονται σίγουροι για τις γνώσεις τους γύρω από το phishing
Πώς λειτουργεί
Οι επιθέσεις πιθανώς ξεκίνησαν μέσω «spear phishing» ή παρόμοιων μεθόδων όπως υποδεικνύεται από τα επόμενα βήματα στην αλυσίδα μολύνσεων. Οι στόχοι οδηγήθηκαν σε μια διεύθυνση URL, η οποία με τη σειρά της οδήγησε σε ένα αρχείο ZIP που φιλοξενείται σε έναν κακόβουλο server. Το αρχείο περιείχε ένα κακόβουλο αρχείο που ανέπτυξε το backdoor του PowerMagic και ένα φαινομενικά αθώο έγγραφο που είχε σκοπό να παραπλανήσει τα θύματα ώστε να πιστέψουν ότι το περιεχόμενο ήταν νόμιμο. Η Kaspersky ανακάλυψε μια σειρά από τέτοια αρχεία με τίτλους που παραπέμπουν σε διάφορα διατάγματα οργανισμών που σχετίζονται με τις περιοχές.
Μόλις το θύμα κάνει λήψη του αρχείου και κάνει κλικ στη συντόμευση του αρχείου, θα μολυνθεί από το PowerMagic backdoor. Το backdoor λαμβάνει εντολές από έναν απομακρυσμένο φάκελο που βρίσκεται σε μια δημόσια υπηρεσία αποθήκευσης στο cloud, εκτελώντας εντολές που αποστέλλονται από τον server και, στη συνέχεια, αποστέλλει τα αποτελέσματα της εκτέλεσης πίσω στο cloud. Το PowerMagic έχει επίσης ρυθμιστεί στο σύστημα ώστε να εκκινείτε συνεχώς και αυτόματα κατά την ενεργοποίηση της μολυσμένης συσκευής.
Όλοι οι στόχοι του PowerMagic που παρατήρησε η Kaspersky μολύνθηκαν επίσης από ένα αρθρωτό πλαίσιο που ονομάστηκε CommonMagic. Αυτό δείχνει ότι το CommonMagic είναι πιθανό να αναπτυχθεί από το PowerMagic, αν και δεν είναι σαφές από τα διαθέσιμα δεδομένα πώς λαμβάνει χώρα η μόλυνση.
Το πλαίσιο του CommonMagic αποτελείται από πολλές ενότητες. Κάθε λειτουργική ενότητα του πλαισίου είναι ένα εκτελέσιμο αρχείο που εκκινείτε με ξεχωριστή διαδικασία, με δυνατότητα επικοινωνίας μεταξύ των ενοτήτων.
Το πλαίσιο έχει τη δυνατότητα να κλέβει αρχεία από συσκευές USB, καθώς και να λαμβάνει στιγμιότυπα οθόνης κάθε τρία δευτερόλεπτα και να τα στέλνει στον εισβολέα.
Κατά τη στιγμή της σύνταξης της αναφοράς της Kaspersky, δεν υπήρχαν άμεσοι δεσμοί μεταξύ του κώδικα και των δεδομένων που χρησιμοποιούνται σε αυτήν την καμπάνια και άλλων που έχουν εντοπιστεί παλαιότερα. Ωστόσο, δεδομένου ότι η εκστρατεία είναι ακόμη ενεργή και η έρευνα βρίσκεται ακόμη σε εξέλιξη, είναι πιθανό να υπάρξουν περαιτέρω πληροφορίες που θα αποκαλυφθούν από πρόσθετες έρευνες οι οποίες θα μπορέσουν να αποτελέσουν αρωγό στην απόδοση της εκστρατείας σε συγκεκριμένο απειλητικό φορέα. Τα περιορισμένα θύματα και η «θεματολογία» των δολωμάτων δείχνουν ότι οι δράστες ενδέχεται να έχουν ιδιαίτερο ενδιαφέρον για τη γεωπολιτική κατάσταση στην περιοχή αυτή.
στο Google News και μάθετε πρώτοι όλες τις ειδήσειςLatest News
Η Nvidia κράτησε στο... σκοτάδι τους Κινέζους πελάτες της - Τι αποκαλύπτει το Reuters
Σύμφωνα με δημοσίευμα του Reuters η Nvidia ενώ γνώριζε τους νέους περιορισμούς εξαγωγών της Ουάσιγκτον δεν ενημέρωσε εγκαίρως τους Κινέζους πελάτες της
Αντιμέτωπη με νέα αγωγή στη Βρετανία η Google - Πιθανές αποζημιώσεις 5 δισ. λιρών
Η μήνυση ασκείται για λογαριασμό όλων των οργανισμών που εδρεύουν στη Βρετανία και που χρησιμοποίησαν τις υπηρεσίες διαφήμισης αναζήτησης της Google από την 1η Ιανουαρίου 2011
Η Δικαιοσύνη αναβαθμίζεται ψηφιακά με συστήματα AI
Μέχρι σήμερα, η μετάφραση εκατοντάδων, αν όχι χιλιάδων, σελίδων και η αναζήτηση διαθέσιμων μεταφραστών και διερμηνέων, ειδικά σε κάποιες γλώσσες, προκαλεί σημαντικές καθυστερήσεις
Ξεκινά η υλοποίηση του ελληνικού εργοστασίου τεχνητής νοημοσύνης
Το AI Factory «Pharos» είναι ένα από τα πρώτα δεκατρία «εργοστάσια» Τεχνητής Νοημοσύνης στην Ευρώπη
Συνεργασία ψηφιακής διασύνδεσης στην Νοτιοανατολική Μεσόγειο Digital Realty - Space Hellas
Η συνεργασία Digital Realty - Space Hellas ενισχύει περαιτέρω το δίκτυο της δεύτερης και αναδεικνύει την Κρήτη σε κομβικό σημείο διασύνδεσης στην Νοτιοανατολική Μεσόγειο
Η Nvidia θα «χάσει» 5,5 δισ. καθώς οι ΗΠΑ περιορίζουν τις πωλήσεις chip στην Κίνα
Η Nvidia ανακοίνωσε ότι οι ΗΠΑ έχουν ξεκαθαρίσει ότι οι νέοι περιορισμοί είναι απαραίτητοι για την αντιμετώπιση του κινδύνου χρήσης τσιπ H20 σε «έναν υπερυπολογιστή στην Κίνα»
Η TDK φέρνει επανάσταση στη δημιουργική ΑΙ
Η TDK κατέγραψε χρόνους απόκρισης 20 τρισεκατομμυρίων του δευτερολέπτου στη δοκιμή για τη βελτίωση των ταχυτήτων μεταφοράς δεδομένων
Η Ευρώπη θα πρέπει να επιλέξει μεταξύ αμερικανικής ή κινεζικής τεχνολογίας - Τι είπε αξιωματούχος του Τραμπ
Ο πρόεδρος της Ομοσπονδιακής Επιτροπής Επικοινωνιών Μπρένταν Καρ προτρέπει την Ευρώπη να επιλέξει την εταιρεία Starlink του ίλον Μασκ
Τα... καμάρια της Silicon Valley δεν πλήρωσαν φόρους εκατοντάδων δισ. δολαρίων
Οι κορυφαίες αμερικανικές εταιρείες τεχνολογίας, γνωστές ως Silicon Six, δημιουργούν κέρδη δισεκατομμυρίων, αλλά «κλέβουν» το δημόσιο ταμείο
Ξεπέρασαν τις 15.000 οι επισκέπτες στη Beyond 2025
Η BEYOND 2025 συγκέντρωσε περισσότερους από 300 εκθέτες από την Ελλάδα και από 10 χώρες
