Ukrayna’daki Casusluk Kampanyası Hakkında Bilgiler
Ukrayna’da, Eylül 2021’den bu yana süren bir casusluk kampanyası tespit edildi. Bu casusluk kampanyasına CommonMagic adı veriliyor. Donetsk, Luhansk ve Kırım bölgelerinde bulunan idare, tarım ve ulaştırma kuruluşları hedef alınarak veri toplama işlemi gerçekleştiriliyor.
PowerShell tabanlı bir arka kapı olan PowerMagic ve yeni bir kötü amaçlı çerçeve olan CommonMagic aracılığıyla saldırılar gerçekleştirilmekte. CommonMagic, USB cihazlarından dosya çalmak, veri toplamak ve saldırganlara göndermek için tasarlanmıştır. Ancak, modüler bir yapıya sahip olan çerçeve, yeni kötü amaçlı modüller eklenerek saldırıların kapsamının genişletilmesine olanak sağlıyor.
Spearphishing veya benzeri yöntemlerle başlatılan saldırılar, hedefleri internet adresine ve kötü niyetli sunucu üzerinde barındırılan bir ZIP arşivine yönlendiriyor. Zip arşivi, kurbanları PowerMagic’i dağıtan kötü amaçlı bir dosya ve iyi huylu bir sahte belge içermektedir.
PowerMagic, bilgileri bulut depolama hizmetinde bulunan uzak bir klasörden alır, gönderilen komutları çalıştırır ve sonuçları buluta geri yükler. Ayrıca, virüs bulaşmış cihazın her açılışında kendisini sistemde kalıcı olarak yerleştirir.
Kaspersky’nin keşfettiği tespitlere göre, CommonMagic modüler bir çerçeve ve her modül ayrı bir süreçte başlatılan yürütülebilir bir dosya içeriyor. Çerçeve, USB cihazlarından dosya çalmanın yanı sıra her üç saniyede bir ekran görüntüsü alabiliyor ve daha sonra bunları saldırgana gönderiyor.
Kampanyada kullanılan kod ve veriler ile daha önce bilinen kod ve veriler arasında doğrudan bir bağlantı kurulamasa da, kampanyanın hala aktif olması nedeniyle, devam eden soruşturmalar sonucunda tehdit aktörlerinin belirlenmesine yardımcı olabilecek ek bilgiler ortaya çıkabilir. Mağdurların coğrafi açıdan sınırlı olması ve yem kullanılan mesajların konu başlıkları, saldırganların muhtemelen kriz bölgesindeki jeopolitik duruma özel bir ilgi duyduklarını gösteriyor.