PowerMagic ist Teil eines Malware-Frameworks, das gegen die Ukraine eingesetzt wird

Inmitten des anhaltenden Konflikts zwischen Russland und der Ukraine wurden mehrere Organisationen, die in Donezk, Lugansk und auf der Krim tätig sind, im Rahmen einer aktiven Kampagne von einem neuen modularen Rahmen namens CommonMagic angegriffen. Zu den Zielorganisationen gehören Organisationen aus dem Regierungs-, Landwirtschafts- und Transportsektor. Diese Angriffe wurden im Oktober 2022 von einem russischen Cybersicherheitsunternehmen entdeckt, das den Aktivitätscluster unter dem Namen „Bad Magic“ überwacht.

Es wird angenommen, dass die Angriffe mit einer Spear-Phishing-Kampagne oder ähnlichen Methoden begannen, die mit Sprengfallen versehene URLs verwendeten, die zu einem bösartigen ZIP-Archiv führten, das sich auf einem kompromittierten Webserver befindet. Dieses Archiv enthält ein Köderdokument und eine bösartige LNK-Datei, die beim Öffnen eine Hintertür namens PowerMagic installiert.

Die Hintertür ist in PowerShell geschrieben und stellt den Kontakt zu einem entfernten Server her, wodurch beliebige Befehle ausgeführt und Ergebnisse an Cloud-Dienste wie Dropbox und Microsoft OneDrive ausgeschleust werden können. PowerMagic wird auch verwendet, um das CommonMagic-Framework bereitzustellen, bei dem es sich um eine Sammlung ausführbarer Module handelt, die für die Interaktion mit dem Command-and-Control (C2)-Server, die Verschlüsselung und Entschlüsselung des C2-Datenverkehrs und die Ausführung von Plugins entwickelt wurden. Zwei bisher entdeckte Plugins ermöglichen das Aufnehmen von Screenshots und das Sammeln von interessanten Dateien von angeschlossenen USB-Geräten.

Es ist erwähnenswert, dass die Forscher keine Beweise gefunden haben, die diese Operation und ihre Werkzeuge mit bekannten Bedrohungsakteuren oder -gruppen in Verbindung bringen. Die Kampagne mag über anderthalb Jahre unbemerkt geblieben sein. Auch wenn die in der CommonMagic-Kampagne verwendete Malware und Techniken nicht als sehr fortschrittlich angesehen werden, ist die Verwendung von Cloud-Speicher als Command-and-Control-Infrastruktur bemerkenswert. Dies zeigt, wie die Geopolitik die Cyberbedrohungslandschaft beeinflussen kann.

Insgesamt unterstreicht dieser Angriff die Notwendigkeit erhöhter Wachsamkeit angesichts sich entwickelnder Cyber-Bedrohungen, insbesondere in Regionen, in denen geopolitische Spannungen solche Bedrohungen verschärfen können. Unternehmen sollten auf die Möglichkeit von Spear-Phishing-Kampagnen und ähnlichen Methoden achten und darauf vorbereitet sein, unverzüglich und effektiv auf alle mutmaßlichen Vorfälle von Cyberangriffen zu reagieren.