Το PowerMagic είναι μέρος ενός πλαισίου κακόβουλου λογισμικού που χρησιμοποιείται κατά της Ουκρανίας
Εν μέσω της συνεχιζόμενης σύγκρουσης μεταξύ Ρωσίας και Ουκρανίας, αρκετοί οργανισμοί που δραστηριοποιούνται στο Ντόνετσκ, το Λούγκανσκ και την Κριμαία έχουν γίνει στόχος ενός νέου αρθρωτού πλαισίου γνωστό ως CommonMagic, ως μέρος μιας ενεργού εκστρατείας. Οι στοχευόμενοι οργανισμοί περιλαμβάνουν τους τομείς της κυβέρνησης, της γεωργίας και των μεταφορών. Αυτές οι επιθέσεις εντοπίστηκαν από μια ρωσική εταιρεία κυβερνοασφάλειας τον Οκτώβριο του 2022, η οποία παρακολουθούσε το σύμπλεγμα δραστηριοτήτων με το όνομα "Bad Magic".
Πιστεύεται ότι οι επιθέσεις ξεκίνησαν με μια εκστρατεία ψαρέματος με δόρυ ή παρόμοιες μεθόδους, που χρησιμοποιούσαν διευθύνσεις URL που είχαν παγιδευτεί με εκρήξεις που οδηγούσαν σε ένα κακόβουλο αρχείο ZIP που βρίσκεται σε έναν παραβιασμένο διακομιστή ιστού. Αυτό το αρχείο περιέχει ένα έγγραφο δόλωμα και ένα κακόβουλο αρχείο LNK που, όταν ανοίγει, εγκαθιστά μια κερκόπορτα που ονομάζεται PowerMagic.
Το backdoor είναι γραμμένο σε PowerShell και δημιουργεί επαφή με έναν απομακρυσμένο διακομιστή, επιτρέποντας την εκτέλεση αυθαίρετων εντολών και την εξαγωγή αποτελεσμάτων σε υπηρεσίες cloud όπως το Dropbox και το Microsoft OneDrive. Το PowerMagic χρησιμοποιείται επίσης για την ανάπτυξη του πλαισίου CommonMagic, το οποίο είναι μια συλλογή εκτελέσιμων λειτουργικών μονάδων που έχουν σχεδιαστεί για να αλληλεπιδρούν με τον διακομιστή εντολών και ελέγχου (C2), να κρυπτογραφούν και να αποκρυπτογραφούν την κυκλοφορία C2 και να εκτελούν πρόσθετα. Δύο πρόσθετα που έχουν ανακαλυφθεί μέχρι στιγμής επιτρέπουν τη λήψη στιγμιότυπων οθόνης και τη συλλογή αρχείων ενδιαφέροντος από συνδεδεμένες συσκευές USB.
Αξίζει να σημειωθεί ότι οι ερευνητές δεν έχουν βρει στοιχεία που να συνδέουν αυτή την επιχείρηση και τα εργαλεία της με κάποιον γνωστό παράγοντα ή ομάδα απειλής. Η καμπάνια μπορεί να πέρασε απαρατήρητη για περισσότερο από ενάμιση χρόνο. Ενώ το κακόβουλο λογισμικό και οι τεχνικές που χρησιμοποιούνται στην καμπάνια CommonMagic μπορεί να μην θεωρούνται ιδιαίτερα προηγμένες, η χρήση του χώρου αποθήκευσης στο cloud ως υποδομής εντολών και ελέγχου είναι αξιοσημείωτη. Αυτό υπογραμμίζει πώς η γεωπολιτική μπορεί να επηρεάσει το τοπίο των απειλών στον κυβερνοχώρο.
Συνολικά, αυτή η επίθεση υπογραμμίζει την ανάγκη για αυξημένη επαγρύπνηση έναντι των εξελισσόμενων απειλών στον κυβερνοχώρο, ειδικά σε περιοχές όπου οι γεωπολιτικές εντάσεις μπορεί να επιδεινώσουν τέτοιες απειλές. Οι οργανισμοί θα πρέπει να παραμείνουν σε εγρήγορση για την πιθανότητα εκστρατειών spear-phishing και παρόμοιων μεθόδων και να είναι προετοιμασμένοι να ανταποκρίνονται άμεσα και αποτελεσματικά σε τυχόν ύποπτα περιστατικά κυβερνοεπιθέσεων.