CommonMagic bei Angriffen auf die Ukraine eingesetzt

Während des anhaltenden Konflikts zwischen Russland und der Ukraine wurden verschiedene Regierungs-, Landwirtschafts- und Verkehrsorganisationen in Donezk, Lugansk und auf der Krim im Rahmen einer aktiven Kampagne von einem neuen modularen Rahmen namens CommonMagic angegriffen.

Ein russisches Cybersicherheitsunternehmen, das die Angriffe im Oktober 2022 entdeckte, überwacht den Aktivitätscluster unter dem Namen „Bad Magic“. Es wird angenommen, dass die Angriffe mit einer Spear-Phishing-Kampagne oder ähnlichen Methoden begannen, die mit Sprengfallen versehene URLs verwendeten, die zu einem böswilligen ZIP-Archiv auf einem kompromittierten Webserver führten. Das Archiv enthält ein Köderdokument und eine bösartige LNK-Datei, die beim Öffnen eine Hintertür namens PowerMagic installiert.

Diese Hintertür ist in PowerShell geschrieben und stellt Kontakt zu einem Remote-Server her, führt beliebige Befehle aus und schleust Ergebnisse an Cloud-Dienste wie Dropbox und Microsoft OneDrive. PowerMagic wird auch verwendet, um das CommonMagic-Framework bereitzustellen, bei dem es sich um eine Reihe ausführbarer Module handelt, die für die Interaktion mit dem Command-and-Control (C2)-Server, die Verschlüsselung und Entschlüsselung des C2-Datenverkehrs und die Ausführung von Plugins entwickelt wurden. Zwei der bisher entdeckten Plugins ermöglichen das Aufnehmen von Screenshots und das Sammeln von interessanten Dateien von angeschlossenen USB-Geräten. Die Forscher fanden keine Beweise, die die Operation und ihre Werkzeuge mit bekannten Bedrohungsakteuren oder -gruppen in Verbindung brachten, und die Kampagne blieb möglicherweise über anderthalb Jahre unbemerkt.

Ein Forscher stellte fest, dass die in der CommonMagic-Kampagne verwendete Malware und Techniken zwar nicht als sehr fortschrittlich bezeichnet werden können, die Verwendung von Cloud-Speicher als Befehls- und Kontrollinfrastruktur jedoch bemerkenswert ist und hervorhebt, wie Geopolitik die Cyberbedrohungslandschaft beeinflussen kann.

Wie kann Malware wie Bad Magic Cloud-Dienste nutzen, um Schaden anzurichten?

Malware wie Bad Magic kann Cloud-Dienste nutzen, um Schaden anzurichten, indem sie sie als Command-and-Control (C2)-Infrastruktur für die Kommunikation mit ihren Betreibern nutzt. Im Fall von Bad Magic stellt die Hintertür namens PowerMagic Kontakt zu einem entfernten Server her und schleust die Ergebnisse seiner ausgeführten willkürlichen Befehle an Cloud-Dienste wie Dropbox und Microsoft OneDrive aus. PowerMagic wird auch verwendet, um das CommonMagic-Framework bereitzustellen, das bestimmte Aufgaben wie die Interaktion mit dem C2-Server, das Verschlüsseln und Entschlüsseln des C2-Datenverkehrs und das Ausführen von Plugins ausführt.

Die Verwendung von Cloud-Speicher für die C2-Infrastruktur kann es für Sicherheitsteams schwieriger machen, die Kommunikation der Malware zu erkennen und zu blockieren, da der Datenverkehr wie legitime Cloud-Speicheraktivitäten aussieht. Darüber hinaus können Angreifer die Skalierbarkeit und Flexibilität von Cloud-Diensten nutzen, um bösartige Dateien zu speichern und zu verteilen, was es ihnen erleichtert, der Entdeckung zu entgehen und Persistenz aufrechtzuerhalten. Insgesamt unterstreicht die Nutzung von Cloud-Diensten durch Malware wie Bad Magic die Bedeutung der Implementierung starker Sicherheitsmaßnahmen und Überwachungstechniken für Cloud-Umgebungen.