Kaspersky a descoperit o campanie APT care vizează organizaţiile din zona de conflict ruso-ucraineană

În octombrie 2022, cercetătorii Kaspersky au descoperit o campanie de ameninţări persistente avansate (APT) care vizează organizaţiile situate în zona afectată de conflictul actual dintre Rusia şi Ucraina, conform unui comunicat remis redacţiei. Denumită CommonMagic, această campanie de spionaj este activă cel puţin din septembrie 2021 şi foloseşte un malware necunoscut anterior pentru a colecta date de la ţintele sale. Ţintele includ organizaţii de administraţie, agricultură şi transport, toate situate în regiunile Doneţk, Lugansk şi Crimeea.

Potrivit sursei citate, atacurile sunt executate folosind un program de tip backdoor, bazat pe PowerShell, numit PowerMagic, şi un nou framework rău intenţionat numit CommonMagic. Acesta din urmă este capabil să fure fişiere de pe dispozitivele USB, să adune date şi să le trimită atacatorului. Cu toate acestea, potenţialul său nu se limitează la aceste două funcţii, deoarece structura sa modulară permite introducerea de activităţi rău intenţionate suplimentare prin noi module periculoase.

Cel mai probabil, atacurile au început cu spearphishing sau metode similare, aşa cum sugerează următorii paşi din lanţul de infecţie. Ţintele au fost conduse la o adresă URL, care, la rândul său, a condus la o arhivă ZIP găzduită pe un server rău intenţionat. Arhiva conţinea un fişier care instala programul de tip backdoor PowerMagic şi un document tip benign decoy care avea scopul de a induce în eroare victimele, făcându-le să creadă că tot conţinutul este legitim. Kaspersky a descoperit o serie de astfel de arhive cu titluri care fac referire la diferite decrete ale organizaţiilor relevante pentru regiuni.

Odată ce victima descarcă arhiva şi dă click pe fişierul de comandă rapidă din arhivă, dispozitivul se infectează cu programul PowerMagic. Backdoor-ul primeşte comenzi dintr-un folder la distanţă, situat pe un domeniu public de stocare în cloud, execută comenzile trimise de pe server şi apoi încarcă rezultatele execuţiei înapoi în cloud. De asemenea, PowerMagic se instalează în sistem pentru a fi lansat sistematic, la pornirea dispozitivului infectat, subliniază sursa citată.

Toate ţintele PowerMagic observate de Kaspersky au fost, de asemenea, infectate cu frameworkul modular CommonMagic. Acest lucru indică faptul că, cel mai probabil, CommonMagic este implementat de PowerMagic, deşi nu este clar din datele disponibile cum are loc infecţia.

Cadrul CommonMagic este format din mai multe module. Fiecare modul este un fişier executabil lansat într-un proces separat, modulele putând comunica între ele.

Cadrul este capabil să fure fişiere de pe dispozitivele USB, precum şi să facă capturi de ecran la fiecare trei secunde şi să le trimită atacatorului.

La momentul redactării acestui material, nu există legături directe între codul şi datele utilizate în această campanie şi cele cunoscute anterior. Cu toate acestea, deoarece campania este încă activă şi investigaţia este încă în desfăşurare, este posibil ca cercetările suplimentare să dezvăluie informaţii suplimentare care ar putea ajuta la atribuirea acestei campanii unui anumit atacator. Victimologia limitată şi subiectele momelilor sugerează că atacatorii au probabil un interes specific în situaţia geopolitică din regiunea crizei.

"Geopolitica afectează întotdeauna peisajul ameninţărilor cibernetice şi duce la apariţia de noi ameninţări. Monitorizăm activitatea legată de conflictul dintre Rusia şi Ucraina de ceva vreme, iar aceasta este una dintre ultimele noastre descoperiri. Deşi malware-ul şi tehnicile folosite în campania CommonMagic nu sunt deosebit de sofisticate, utilizarea sistemelor de stocare în cloud ca infrastructură de comandă şi control este demnă de remarcat. Ne vom continua investigaţia şi sperăm că vom putea împărtăşi mai multe informaţii despre această campanie", comentează Leonid Bezvershenko, cercetător în domeniul securităţii la Kaspersky Global Research and Analysis Team.

Pentru a evita atacurile ţintite din partea unui atacator cibernetic cunoscut sau necunoscut, cercetătorii Kaspersky recomandă implementarea următoarelor măsuri:

• Oferiţi echipei SOC acces la cele mai recente informaţii despre ameninţări (TI). Portalul Kaspersky Threat Intelligence este punctul de acces pentru datele TI generate de companie, oferind informaţii privind atacurile cibernetice adunate de Kaspersky pe o perioadă de peste 20 de ani.

• Ajutaţi-vă echipa de securitate cibernetică să-şi formeze abilităţi în acest domeniu, pentru a aborda cele mai recente ameninţări vizate, cu ajutorul cursurilor online Kaspersky, dezvoltate de experţii GReAT

• Pentru detectarea, investigarea şi remedierea la timp util a incidentelor, la nivelul endpoint, implementaţi soluţii EDR, precum Kaspersky Endpoint Detection and Response

• Pe lângă adoptarea protecţiei esenţiale la nivel endpoint, implementaţi o soluţie de securitate la nivel corporativ care detectează ameninţările avansate din reţea într-un stadiu incipient, precum Kaspersky Anti Targeted Attack Platform

• Deoarece multe atacuri direcţionate încep cu o campanie de phishing sau alte tehnici de inginerie socială, introduceţi cursuri pentru îmbunătăţirea nivelului de conştientizare a securităţii cibernetice prin dobândirea unor abilităţi practice - de exemplu, prin platforma Kaspersky Automated Security Awareness, se menţionează în comunicat.