В процессе поиска имплантатов, имеющих сходство с PowerMagic и CommonMagic, Лаборатория каперского выявили кластер еще более сложных вредоносных действий, исходящих от одного и того же субъекта угрозы. Его жертвы находились не только в Донецкой, Луганской областях и Крыму, но и в центральной и западной Украине. Среди целей были как частные лица, так и дипломатические и исследовательские организации. В ходе недавно обнаруженной кампании использовался модульный фреймворк, который они назвали CloudWizard.
Его функции включают создание скриншотов, запись микрофона, прослушивание клавиатуры и многое другое.
Indicators of Compromise
IPv4
- 91.228.147.23
Domains
- curveroad.com
SHA256
- 041e4dcdc0c7eea5740a65c3a15b51ed0e1f0ebd6ba820e2c4cd8fa34fb891a2
- 11012717a77fe491d91174969486fbaa3d3e2ec7c8d543f9572809b5cf0f2119
- 177f1216b55058e30a3ce319dc1c7a9b1e1579ea3d009ba965b18f795c1071a4
