PowerMagic

Des recherches récentes ont révélé une nouvelle campagne de cyberespionnage qui vise les agences gouvernementales et d'autres organisations opérant dans les régions de l'Ukraine qui sont actuellement occupées par la Russie. Cette campagne utilise deux souches de logiciels malveillants distinctes et jusque-là inconnues, appelées PowerMagic et CommonMagic.

Les attaquants utilisent ces souches de logiciels malveillants pour voler les données des appareils ciblés appartenant à des entités situées dans les régions de Donetsk, Lougansk et Crimée. Les cibles de cette campagne d'espionnage comprennent les agences gouvernementales, ainsi que les organisations agricoles et de transport.

Il semble hautement probable que cette dernière campagne de cyberespionnage fasse partie du cyberconflit plus large entre l'Ukraine et la Russie, étant donné le conflit en cours dans la région.

Les attaquants utilisent des e-mails de phishing et des documents leurres

Les attaquants à l'origine de cet incident ont diffusé des logiciels malveillants en utilisant des e-mails de phishing, qui contenaient un lien hypertexte vers une archive .zip hébergée sur un serveur ayant une intention malveillante.

L'archive .zip était composée de deux fichiers : un document qui avait été déguisé pour apparaître comme un décret officiel - avec des exemples comprenant des notifications liées aux élections législatives en Crimée ou à la planification budgétaire à Donetsk - ainsi qu'un fichier .lnk malveillant. Une fois ouvert, ce fichier .lnk lancerait le logiciel malveillant et infecterait l'appareil ciblé.

Dans la phase initiale de l'attaque, les pirates ont utilisé une porte dérobée basée sur PowerShell appelée PowerMagic pour infiltrer le système.

PowerMagic est équipé de plusieurs capacités de menace

Après un examen plus approfondi de la porte dérobée PowerMagic, il a été découvert que la section principale de la porte dérobée est lue à partir du fichier situé dans %APPDATA%\WinEventCom\config. Ce fichier est ensuite déchiffré grâce à l'utilisation d'un simple algorithme XOR.

Après le décryptage, la porte dérobée entre dans une boucle infinie qui communique en permanence avec son serveur de commande et de contrôle (C&C) désigné. La porte dérobée reçoit alors les commandes du serveur et répond avec les résultats téléchargés.

Lorsque PowerMagic établit avec succès une connexion avec le serveur C&C, il a la capacité d'exécuter des commandes arbitraires. Les résultats de ces commandes exécutées sont exfiltrés vers des services cloud tels que Dropbox et Microsoft OneDrive.

Cependant, l'une des tâches principales de PowerMagic est de fournir le cadre CommonMagic de la prochaine étape aux appareils infectés. CommonMagic est un outil malveillant plus compliqué capable d'effectuer des tâches spécifiques.