CommonMagic brugt i angreb mod Ukraine

Under den igangværende konflikt mellem Rusland og Ukraine er forskellige regerings-, landbrugs- og transportorganisationer i Donetsk, Lugansk og Krim blevet ramt af en ny modulopbygget ramme kaldet CommonMagic som en del af en aktiv kampagne.

Et russisk cybersikkerhedsfirma, der opdagede angrebene i oktober 2022, overvåger aktivitetsklyngen under navnet "Bad Magic". Angrebene menes at være startet med en spear phishing-kampagne eller lignende metoder, der brugte booby-fangede URL'er, der førte til et ondsindet ZIP-arkiv på en kompromitteret webserver. Arkivet indeholder et lokkedokument og en ondsindet LNK-fil, der installerer en bagdør kaldet PowerMagic, når den åbnes.

Denne bagdør er skrevet i PowerShell og etablerer kontakt med en ekstern server, udfører vilkårlige kommandoer og eksfiltrerer resultater til skytjenester som Dropbox og Microsoft OneDrive. PowerMagic bruges også til at implementere CommonMagic frameworket, som er et sæt eksekverbare moduler designet til at interagere med kommando-og-kontrol-serveren (C2), kryptere og dekryptere C2-trafik og eksekvere plugins. To af de hidtil opdagede plugins tillader optagelse af skærmbilleder og indsamling af interessante filer fra tilsluttede USB-enheder. Forskerne fandt ingen beviser, der forbinder operationen og dens værktøjer til nogen kendt trusselsaktør eller gruppe, og kampagnen kan være gået ubemærket hen i over halvandet år.

En forsker bemærkede, at selvom malwaren og teknikkerne, der bruges i CommonMagic-kampagnen, ikke kan kaldes særlig avancerede, er brugen af cloud storage som kommando-og-kontrol-infrastruktur bemærkelsesværdig og fremhæver, hvordan geopolitik kan påvirke landskabet med cybertrusler.

Hvordan kan malware som Bad Magic bruge cloudtjenester til at gøre skade?

Malware som Bad Magic kan bruge cloud-tjenester til at gøre skade ved at bruge dem som en kommando-og-kontrol (C2) infrastruktur til kommunikation med sine operatører. I tilfælde af Bad Magic etablerer bagdøren ved navn PowerMagic kontakt med en fjernserver og eksfiltrerer resultaterne af dens udførte vilkårlige kommandoer til skytjenester som Dropbox og Microsoft OneDrive. PowerMagic bruges også til at implementere CommonMagic-rammeværket, som udfører specifikke opgaver såsom interaktion med C2-serveren, kryptering og dekryptering af C2-trafik og eksekvering af plugins.

Brugen af cloud storage til C2-infrastruktur kan gøre det mere udfordrende for sikkerhedsteams at opdage og blokere malwarens kommunikation, da trafikken ligner lovlig cloud storage-aktivitet. Derudover kan angribere udnytte skalerbarheden og fleksibiliteten af cloud-tjenester til at gemme og distribuere ondsindede filer, hvilket gør det nemmere for dem at undgå registrering og vedligeholde persistens. Overordnet set understreger brugen af cloud-tjenester af malware som Bad Magic vigtigheden af at implementere stærke sikkerhedsforanstaltninger og overvågningsteknikker for cloud-miljøer.