PowerMagic er en del af et Malware-rammeværk, der bruges mod Ukraine
Midt i den igangværende konflikt mellem Rusland og Ukraine er flere organisationer, der opererer i Donetsk, Lugansk og Krim, blevet ramt af en ny modulopbygget ramme kendt som CommonMagic, som en del af en aktiv kampagne. De målrettede organisationer omfatter dem i regerings-, landbrugs- og transportsektoren. Disse angreb blev opdaget af et russisk cybersikkerhedsfirma i oktober 2022, som har overvåget aktivitetsklyngen under navnet "Bad Magic".
Det menes, at angrebene begyndte med en spear-phishing-kampagne eller lignende metoder, der brugte booby-fangede URL'er, der førte til et ondsindet ZIP-arkiv placeret på en kompromitteret webserver. Dette arkiv indeholder et lokkedokument og en ondsindet LNK-fil, der, når den åbnes, installerer en bagdør kaldet PowerMagic.
Bagdøren er skrevet i PowerShell og etablerer kontakt med en ekstern server, hvilket gør det muligt at udføre vilkårlige kommandoer og eksfiltrere resultater til cloud-tjenester som Dropbox og Microsoft OneDrive. PowerMagic bruges også til at implementere CommonMagic-rammeværket, som er en samling af eksekverbare moduler designet til at interagere med kommando-og-kontrol-serveren (C2), kryptere og dekryptere C2-trafik og udføre plugins. To plugins, der er blevet opdaget indtil videre, tillader optagelse af skærmbilleder og indsamling af filer af interesse fra tilsluttede USB-enheder.
Det er værd at bemærke, at forskerne ikke har fundet beviser, der forbinder denne operation og dens værktøjer til nogen kendt trusselsaktør eller gruppe. Kampagnen kan have gået ubemærket hen i over halvandet år. Selvom malware og teknikker, der bruges i CommonMagic-kampagnen, måske ikke anses for at være meget avancerede, er brugen af cloud storage som kommando-og-kontrol-infrastruktur bemærkelsesværdig. Dette fremhæver, hvordan geopolitik kan påvirke landskabet med cybertrusler.
Samlet set fremhæver dette angreb behovet for øget årvågenhed over for cybertrusler, der udvikler sig, især i regioner, hvor geopolitiske spændinger kan forværre sådanne trusler. Organisationer bør forblive opmærksomme på muligheden for spear-phishing-kampagner og lignende metoder og være parate til at reagere hurtigt og effektivt på enhver formodet hændelse af cyberangreb.
