Kaspersky araştırmacıları, Rusya ve Ukrayna arasındaki çatışmanın sürdüğü bölgede bulunan kuruluşları hedef alan yeni ve gelişmiş bir kalıcı tehdit (APT) kampanyasını tespit etti.
CommonMagic olarak adlandırılan söz konusu casusluk kampanyasının en az Eylül 2021’den beri aktif olduğu düşünülüyor. Saldırganlar hedeflerinden veri toplamak için daha önce bilinmeyen bir kötü amaçlı yazılım kullanıyor. Hedefler arasında Donetsk, Luhansk ve Kırım bölgelerinde bulunan idare, tarım ve ulaştırma kuruluşları yer alıyor.
Saldırılar, PowerMagic olarak adlandırılan PowerShell tabanlı bir arka kapı ve CommonMagic adı verilen yeni bir kötü amaçlı çerçeve yardımıyla gerçekleştiriliyor. Bunlardan CommonMagic, USB cihazlarından dosya çalma, veri toplama ve saldırgana gönderme yeteneğine sahip. Bununla birlikte modüler çerçevelerin yapısı itibariyle yeni kötü amaçlı modüller aracılığıyla ek kötü amaçlı faaliyetlerin başlatılmasına izin vermesinden dolayı, saldırının potansiyeli bu iki işlevle sınırlı değil gibi görünüyor.
PowerMagic hedeflerine CommonMagic olarak bulaşıyor
Kurban arşivi indirdikten ve arşivdeki kısayol dosyasına tıkladıktan sonra PowerMagic arka kapısı sisteme bulaşıyor. Devamında arka kapı genel bir bulut depolama hizmetinde bulunan uzak bir klasördeki komutları alıyor, gönderilen komutları çalıştırıyor ve sonuçları buluta geri yüklüyor. PowerMagic, ayrıca virüs bulaşmış cihazın her açılışında yeniden başlatılmak üzere kendisini sisteme kalıcı olarak yerleştiriyor.
Kaspersky, tespit ettiği tüm PowerMagic hedeflerine CommonMagic olarak adlandırılan modüler bir çerçevenin de bulaştığını keşfetti. Bu, CommonMagic’in PowerMagic tarafından dağıtılmış olabileceğine işaret ediyor. Ancak mevcut verilerden bulaşmanın nasıl gerçekleştiği tam olarak bilinmiyor.
CommonMagic çerçevesi birden fazla modülden oluşuyor. Her çerçeve modülü ayrı bir süreçte başlatılan yürütülebilir bir dosya içeriyor ve modüller birbirleri arasında iletişim kurabiliyor. Çerçeve, USB cihazlarından dosya çalmanın yanı sıra her üç saniyede bir ekran görüntüsü alabiliyor ve daha sonra bunları saldırgana gönderiyor.
Mağdurların coğrafi açıdan sınırlı olması ve yem olarak kullanılan mesajların konu başlıkları, saldırganların muhtemelen kriz bölgesindeki jeopolitik duruma özel bir ilgi duyduklarını gösteriyor.
Kaspersky Global Araştırma ve Analiz Ekibi (GReAT) Güvenlik Araştırmacısı Leonid Bezvershenko, şunları söylüyor: “Jeopolitik koşullar her zaman siber tehdit ortamını etkiler ve yeni tehditlerin ortaya çıkmasına neden olur. Bir süredir Rusya ve Ukrayna arasındaki çatışmayla bağlantılı faaliyetleri izliyoruz ve bu da en son keşiflerimizden biri. CommonMagic kampanyasında kullanılan kötü amaçlı yazılım ve teknikler fazla sofistike olmasa da, komuta ve kontrol altyapısı olarak bulut depolamanın kullanılması dikkat çekici. Bu konu üzerindeki araştırmalarımıza devam edeceğiz ve umarım önümüzdeki günlerde bu kampanyayla ilgili daha fazla bilgi paylaşabileceğiz.”
