パワーマジック

最近の調査により、現在ロシアが占領しているウクライナの地域内で活動している政府機関やその他の組織を対象とした新しいサイバースパイ活動が明らかになりました。このキャンペーンは、PowerMagic および CommonMagic と呼ばれる、これまで知られていなかった 2 つの異なるマルウェア系統を利用しています。

攻撃者はこれらのマルウェアを使用して、ドネツク、ルガンスク、およびクリミア地域にあるエンティティに属する標的のデバイスからデータを盗み出します。このスパイ活動の標的には、政府機関だけでなく、農業や運輸組織も含まれます。

この地域で進行中の紛争を考えると、この最新のサイバースパイ活動は、ウクライナとロシアの間のより大きなサイバー紛争の一部である可能性が非常に高いようです。

攻撃者はフィッシング メールとおとり文書を使用する

このインシデントの背後にいる攻撃者は、悪意のあるサーバーでホストされている .zip アーカイブへのハイパーリンクを含むフィッシング メールを使用して、マルウェアを広めました。

.zip アーカイブは 2 つのファイルで構成されていました。1 つは公式の布告を装った文書 (クリミアの議会選挙やドネツクの予算計画に関連する通知など) と、悪意のある .lnk ファイルです。この .lnk ファイルが開かれると、マルウェアが開始され、標的のデバイスに感染します。

攻撃の初期段階で、ハッカーは PowerMagic と呼ばれる PowerShell ベースのバックドアを使用してシステムに侵入しました。

PowerMagic には複数の脅威機能が装備されています

PowerMagic バックドアをさらに調べたところ、バックドアのプライマリ セクションが %APPDATA%\WinEventCom\config にあるファイルから読み取られていることが判明しました。このファイルは、単純な XOR アルゴリズムを使用して復号化されます。

復号化後、バックドアは、指定されたコマンド アンド コントロール (C&C) サーバーと継続的に通信する無限ループに入ります。次に、バックドアはサーバーからコマンドを受信し、アップロードされた結果で応答します。

PowerMagic が C&C サーバーとの接続を正常に確立すると、任意のコマンドを実行できるようになります。これらの実行されたコマンドの結果は、Dropbox や Microsoft OneDrive などのクラウド サービスに流出します。

ただし、PowerMagic の主なタスクの 1 つは、感染したデバイスに次の段階のCommonMagicフレームワークを配信することです。 CommonMagic は、特定のタスクを実行できる、より複雑な悪意のあるツールです。