CommonMagic: Istraživači kompanije Kaspersky otkrivaju novu APT kampanju na područjima rusko-ukrajinskog sukoba

Tokom oktobra 2022. godine, istraživači kompanije Kaspersky otkrili su aktivnu APT (advanced persistant threat) kampanju na području zahvaćenom sukobom između Rusije i Ukrajine. Nazvana CommonMagic, ova špijunska kampanja traje od septembra 2021. godine, i koristi prethodno nepoznati malver za prikupljanje podataka. Kampanja je za metu imala organizacije za administraciju, poljoprivredu i transport, smeštene u regionima Donjecka, Luganska i Krima.

Napadi se izvode korišćenjem backdoor-a zasnovanog na PowerShell skripti, nazvanog PowerMagic i novog zlonamernog framework-a nazvanog CommonMagic. Ovaj framework ima sposobnost da ukrade fajlove sa USB uređaja, prikupi podatke i pošalje ih napadaču. Dodatno, njegov potencijal nije ograničen samo na ove sve funkcije, jer mu modularna struktura omogućava uvođenje dodatnih aktivnosti putem novih malicioznih modula.

Prema toku procesa infekcije može se zaključiti da su napadi najverovatnije započeti kroz "spearphishing" ili slične metode. Mete napada su navođene da otvore URL adresu, koja vodi ka ZIP arhivi smeštenoj na zlonamernom serveru. U arhivi se nalazio zlonamerni fajl koji je pokretao PowerMagic backdoor i benigni dokument, tzv. "varalicu", namenjen da odvrati pažnju mete i navede je da veruje da je sadržaj legitiman. Kompanija Kaspersky otkrila je nekoliko arhiva korišćenih za te dokumente, sa temama koje se odnose na razne dekrete relevantnih organizacija u ovim regionima.

Kada žrtva preuzme arhivu i klikne na link u arhivi, na njenom uređaju se instalira PowerMagic backdoor. Backdoor prima komande iz daljinskog foldera smeštenog na javnom cloud servisu za skladištenje, izvršava komande poslate sa servera, a zatim šalje rezultate izvršenja nazad na cloud. PowerMagic se takođe instalira i u sistem i pokreće pri svakom ponovnom pokretanju zaraženog uređaja.

Sve mete zaraze malverom PowerMagic koje je zabeležio Kaspersky bile su takođe zaražene modularnim framework-om koji smo nazvali CommonMagic. Iako iz dostupnih podataka nije jasno kako se dolazi do ove infekcije, pretpostavka je da se CommonMagic implementira kroz PowerMagicbackdoor.

CommonMagic framework se sastoji od više modula. Svaki modul je izvršni fajl pokrenut u zasebnom procesu, a moduli su sposobni da komuniciraju međusobno.

Framework je sposoban da ukrade fajlove sa USB uređaja, kao i da pravi snimke ekrana svake tri sekunde i da ih šalje napadaču.

U vreme pisanja ovog izveštaja, nisu pronađene bilo kakve veze između koda i podataka korištenih u ovoj kampanji i bilo koje prethodno poznate kampanje. Pošto je kampanja još uvek aktivna, a istraga je još u toku,dodatne informacije bi mogle pomoći u pripisivanju ove kampanje određenom akteru pretnji. Ograničena viktimologija i varalice sa temama rusko-ukrajinskog sukoba ukazuju da napadači verovatno imaju određeni interes u geopolitičkoj situaciji u tom regionu.

- Geopolitika uvek utiče na sajber pretnje i dovodi do pojave novih pretnji. Već neko vreme pratimo aktivnosti koje su povezane sa rusko-ukrajinskim sukobom, a ovo je jedno od naših najnovijih otkrića. Iako malver i tehnike koje se koriste u kampanji CommonMagic nisu posebno sofisticirani, upotreba cloud skladišta kao infrastrukture za upravljanje i kontrolu komandi je nešto što privlači pažnju. Nastavićemo istragu i nadamo se da ćemo biti u mogućnosti da podelimo više uvida u ovu kampanju - izjavio je Leonid Besverzhenko, istraživač bezbednosti u Globalnom istraživačkom i analitičkom timu (GReAT) kompanije Kaspersky.

Pun izveštaj o CommonMagic kampanji dostupan je na blogu Securelist.

Kako ne bi postali žrtva ciljanog napada od strane poznatog ili nepoznatog aktera pretnji, istraživači kompanije Kaspersky predlažu sledećih nekoliko mera:

- Omogućite vašem SOC timu pristup najnovijim Threat Inteligence (TI) izveštajima. Kaspersky Threat Intelligence Portal je jedinstvena tačka pristupa koja omogućuje pristup i TI izveštajima, podacima o napadima kao i uvidima koje je Kaspersky prikupio tokom 20 godina.

- Unapredite veštine svog tima zaduženog za sajberbezbednost sa Kaspersky online treninzima koje su razvili eksperti GReAT tima kako bi mogao da se nosi sa najnovijim ciljanim napadima.

- Za nivo detekcije na endpoint uređajima, istrage i pravovremeno reagovanje na incidente, primenite neko od EDR rešenja, kao što su Kaspersky Endpoint Detection and Response.

- Pored usvajanja osnovne endpoint zaštite, implementirajte rešenja namenjena zaštiti velikih kompanija koja omogućuju detekciju naprednih pretnji na mreži u ranim fazama zaraze, kao što je Kaspersky Anti Targeted Attack Platform.

- Mnogi ciljani napadi otpočinju sa pfišing napadima ili drugim tehnikama socijalnog inženjeringa, zbog toga uvedite treninge i podučite svoj tim praktičnim veštinama kroz Kaspersky Automated Security Awareness Platform.

Kaspersky

Leonid Besverzhenko

Donjeck

Lugansk

Krim

APT kampanja

advanced persistant threat

CommonMagic špijunska kampanja

krađa fajlova sa USB uređaja

spearphishing

PowerMagic backdoor

malver PowerMagic

CommonMagic framework

GReAT

Kaspersky Automated Security Awareness Platform

Kaspersky Anti Targeted Attack Platform

Kaspersky Endpoint Detection and Response

Kaspersky online treninzi

Kaspersky Threat Intelligence Portal