CommonMagic που χρησιμοποιείται σε επιθέσεις κατά της Ουκρανίας
Κατά τη διάρκεια της συνεχιζόμενης σύγκρουσης μεταξύ Ρωσίας και Ουκρανίας, διάφορες κυβερνητικές, γεωργικές και μεταφορικές οργανώσεις που βρίσκονται στο Ντόνετσκ, το Λούγκανσκ και την Κριμαία έχουν στοχοποιηθεί από ένα νέο αρθρωτό πλαίσιο που ονομάζεται CommonMagic ως μέρος μιας ενεργής εκστρατείας.
Μια ρωσική εταιρεία κυβερνοασφάλειας που εντόπισε τις επιθέσεις τον Οκτώβριο του 2022, παρακολουθεί το σύμπλεγμα δραστηριοτήτων με το όνομα "Bad Magic". Οι επιθέσεις πιστεύεται ότι ξεκίνησαν με μια εκστρατεία ψαρέματος (spear phishing) ή παρόμοιες μεθόδους που χρησιμοποίησαν διευθύνσεις URL που είχαν παγιδευτεί με παγίδευση που οδηγούσαν σε ένα κακόβουλο αρχείο ZIP σε έναν παραβιασμένο διακομιστή ιστού. Το αρχείο περιέχει ένα έγγραφο δόλωμα και ένα κακόβουλο αρχείο LNK που εγκαθιστά μια κερκόπορτα που ονομάζεται PowerMagic όταν ανοίγει.
Αυτό το backdoor είναι γραμμένο στο PowerShell και δημιουργεί επαφή με έναν απομακρυσμένο διακομιστή, εκτελώντας αυθαίρετες εντολές και εξάγοντας αποτελέσματα σε υπηρεσίες cloud όπως το Dropbox και το Microsoft OneDrive. Το PowerMagic χρησιμοποιείται επίσης για την ανάπτυξη του πλαισίου CommonMagic, το οποίο είναι ένα σύνολο εκτελέσιμων μονάδων που έχουν σχεδιαστεί για να αλληλεπιδρούν με τον διακομιστή εντολών και ελέγχου (C2), να κρυπτογραφούν και να αποκρυπτογραφούν την κυκλοφορία C2 και να εκτελούν πρόσθετα. Δύο από τα πρόσθετα που έχουν ανακαλυφθεί μέχρι στιγμής επιτρέπουν τη λήψη στιγμιότυπων οθόνης και τη συλλογή αρχείων ενδιαφέροντος από συνδεδεμένες συσκευές USB. Οι ερευνητές δεν βρήκαν στοιχεία που να συνδέουν την επιχείρηση και τα εργαλεία της με οποιονδήποτε γνωστό παράγοντα ή ομάδα απειλής και η εκστρατεία μπορεί να έχει περάσει απαρατήρητη για περισσότερο από ενάμιση χρόνο.
Ένας ερευνητής σημείωσε ότι ενώ το κακόβουλο λογισμικό και οι τεχνικές που χρησιμοποιούνται στην καμπάνια CommonMagic δεν μπορούν να χαρακτηριστούν πολύ προηγμένα, η χρήση του cloud storage ως υποδομής εντολών και ελέγχου είναι αξιοσημείωτη και υπογραμμίζει τον τρόπο με τον οποίο η γεωπολιτική μπορεί να επηρεάσει το τοπίο της κυβερνοαπειλής.
Πώς μπορούν τα κακόβουλα προγράμματα όπως το Bad Magic να χρησιμοποιήσουν τις υπηρεσίες Cloud για να βλάψουν;
Το κακόβουλο λογισμικό όπως το Bad Magic μπορεί να χρησιμοποιήσει τις υπηρεσίες cloud για να βλάψει, χρησιμοποιώντας τις ως υποδομή εντολών και ελέγχου (C2) για την επικοινωνία με τους χειριστές του. Στην περίπτωση του Bad Magic, η κερκόπορτα με το όνομα PowerMagic δημιουργεί επαφή με έναν απομακρυσμένο διακομιστή και διεγείρει τα αποτελέσματα των αυθαίρετων εντολών που εκτελούνται σε υπηρεσίες cloud όπως το Dropbox και το Microsoft OneDrive. Το PowerMagic χρησιμοποιείται επίσης για την ανάπτυξη του πλαισίου CommonMagic, το οποίο εκτελεί συγκεκριμένες εργασίες, όπως η αλληλεπίδραση με τον διακομιστή C2, η κρυπτογράφηση και η αποκρυπτογράφηση της κυκλοφορίας C2 και η εκτέλεση προσθηκών.
Η χρήση του χώρου αποθήκευσης cloud για την υποδομή C2 μπορεί να καταστήσει πιο δύσκολο για τις ομάδες ασφαλείας να εντοπίσουν και να μπλοκάρουν την επικοινωνία του κακόβουλου λογισμικού, καθώς η κίνηση μοιάζει με νόμιμη δραστηριότητα αποθήκευσης cloud. Επιπλέον, οι εισβολείς μπορούν να αξιοποιήσουν την επεκτασιμότητα και την ευελιξία των υπηρεσιών cloud για την αποθήκευση και τη διανομή κακόβουλων αρχείων, διευκολύνοντάς τους να αποφύγουν τον εντοπισμό και να διατηρήσουν την επιμονή τους. Συνολικά, η χρήση υπηρεσιών cloud από κακόβουλο λογισμικό όπως το Bad Magic υπογραμμίζει τη σημασία της εφαρμογής ισχυρών μέτρων ασφαλείας και τεχνικών παρακολούθησης για περιβάλλοντα cloud.
