CloudWizard и CommonMagic: новые оружия кибервойны

CloudWizard и CommonMagic: новые оружия кибервойны

Исследования "Лаборатории Касперского" указывают на сложность и многообразие использованных вредоносных программ.

image

"Лаборатория Касперского" в марте 2023 года отметила целенаправленные кибератаки на структуры в Донецке, Луганске и Крыму. К маю, специалисты выявили ещё большую сложность вредоносной деятельности той же группы хакеров. Теперь в рамках атак под угрозой оказались не только организации в Донецке, Луганске и Крыму, но и отдельные лица, дипломатические миссии и научные институты в Центральной и Западной Украине. Атаки, зарегистрированные в марте, использовали фреймворк CommonMagic, в то время как последующие атаки применили более сложный модульный фреймворк CloudWizard. Дополнительно, специалисты обнаружили информацию, указывающую на то, что эта группа киберпреступников также стоит за кибершпионскими кампаниями Operation BugDrop и Operation Groundbait (Prikormka).

Кибершпионская кампания, открытая в марте, активна, по крайней мере, с сентября 2021 года. В ходе неё использовалось ранее неизвестное специалистам по кибербезопасности вредоносное ПО — сложный модульный фреймворк CommonMagic, устанавливаемый после инфицирования устройства PowerShell-бэкдором.

Некоторые детали кампании оставались неясными для исследователей в марте, поэтому они продолжили расследование, углубившись в кампании прошлых лет. В мае была обнаружена новая кампания, использующая модульный фреймворк CloudWizard, состоящий из девяти модулей, каждый из которых отвечает за различные вредоносные действия, включая сбор файлов, создание скриншотов, кражу паролей, перехват клавиатурного ввода и аудиозаписей. Один из модулей позволяет извлечь файлы cookie учетных записей Gmail и получить доступ к истории активности, списку контактов и всем сообщениям электронной почты жертвы.

При анализе CloudWizard исследователи выявили заметные схожести с кампаниями 2015—2016 годов: Operation Groundbait (Prikormka) и Operation BugDrop. Они отметили сходство в коде, формате именования файлов, использование украинских хостинг-провайдеров и совпадение целевых объектов в Центральной, Западной и Восточной Украине. CloudWizard также показал сходства с кампанией CommonMagic. Некоторые части кода были идентичными, использовалась та же библиотека шифрования, схожий формат именования файлов, и оба фреймворка применялись в атаках в одних и тех же регионах.

На основании вышеуказанных данных эксперты пришли к выводу, что кампании Operation Groundbait (Prikormka), Operation BugDrop, CommonMagic и CloudWizard между собой связаны.

«Группа, ответственная за эти атаки, ведёт кибершпионские действия в данном регионе уже более 15 лет и продолжает совершенствовать свои техники. Учитывая постоянное влияние геополитики на киберугрозы, мы предполагаем, что подобные атаки в регионе будут продолжаться в обозримом будущем», — комментирует Леонид Безвершенко, эксперт по кибербезопасности "Лаборатории Касперского".

Вот что известно об Operation Groundbait и Operation BugDrop:

  • Operation Groundbait (также известная как Prikormka) - это кибершпионская кампания, которая была обнаружена и раскрыта компанией Eset в 2016 год. Основными жертвами этой кампании были организации в Восточной Украине. По мимо целей на востоке Украины, целью этой кампании являлись украинские чиновники, политики и журналисты. Как отметили в ESET, стоящие за операцией «Прикормка» хакеры действуют с территории Украины и преследуют политические мотивы.

  • Operation BugDrop была кибершпионской кампанией , которая началась в 2016 году и направлена против украинских организаций, в том числе правительственных, научных, медиа и энергетических. Согласно докладу CyberX, компрометации подверглись по меньшей мере 70 организаций, в числе которых объекты критической инфраструктуры Украины, медиакомпании и научно-исследовательские центры. В числе жертв также оказались ряд организаций из Саудовской Аравии и Австрии.

  • Обе кампании использовали вредоносное ПО, которое могло перехватывать аудио с микрофона компьютера жертвы и отправляло его на удаленный сервер.

  • Обе кампании также использовали похожий код и формат наименования файлов, а также хостинги украинских провайдеров для размещения своих командно-контрольных серверов.

  • Обе кампании имели сходные цели в Центральной, Западной и Восточной Украине, а также в регионе Российско-Украинского конфликта.

  • Обе кампании имели сходства с более поздними кампаниями CommonMagic и CloudWizard по коду, библиотеке шифрования и регионам атак.

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!