Неизвестные хакеры шпионят в ДНР, ЛНР и Крыму с помощью ранее неизученного бэкдора

Специалисты Лаборатории Касперского заявили , что в ДНР, ЛНР и Крыму с 2021 года проводится кампания кибершпионажа, нацеленная на правительственные, сельскохозяйственные и транспортные организации.

Согласно отчёту Лаборатории Касперского, в этой кампании хакеры используют вредоносные программы CommonMagic и PowerMagic, которые позволяют делать скриншоты экрана и похищать файлы с подключённых носителей, пересылая их злоумышленникам в облако.

Предположительно, атака начинается с рассылки фишинговых писем от имени госорганизаций. При нажатии на ссылку в письме жертва скачивает вредоносный ZIP-архив, содержащий 2 файла:

1. безвредный документ-приманка (в формате PDF, XLSX или DOCX);
2. вредоносный LNK-файл с двойным расширением (например, «.pdf.lnk»).

При открытии ярлыка, на устройство доставляется бэкдор PowerMagic. Она получает команды из удалённой папки, расположенной в публичном облаке, выполняет их и затем загружает результаты исполнения файлов обратно в облако.

Документ-приманка в формате PDF со ссылкой на вредоносный ярлык

PowerMagic устанавливает постоянство в системе и сохраняется в ней даже после перезагрузки устройства. Также PowerMagic используется для развертывания фреёмворка CommonMagic, который состоит из нескольких модулей. CommonMagic может похищать файлы с USB-устройств, а также делать скриншоты каждые 3 секунды и отправлять их киберпреступникам.

«Мы следим за этой кампанией. Примечательны в ней не вредоносное ПО и техники — они не самые хитроумные, — а то, что в качестве командно-контрольной инфраструктуры (C2, C&C) используется облачное хранилище. Мы продолжим исследовать эту угрозу и, надеюсь, сможем позднее рассказать о CommonMagic больше», — отметил Леонид Безвершенко, эксперт по кибербезопасности в «Лаборатории Касперского».