CommonMagic utilisé dans les attaques contre l'Ukraine

Pendant le conflit en cours entre la Russie et l'Ukraine, diverses organisations gouvernementales, agricoles et de transport situées à Donetsk, Lougansk et en Crimée ont été ciblées par un nouveau cadre modulaire appelé CommonMagic dans le cadre d'une campagne active.

Une société russe de cybersécurité qui a détecté les attaques d'octobre 2022 surveille le cluster d'activités sous le nom de "Bad Magic". On pense que les attaques ont commencé par une campagne de spear phishing ou des méthodes similaires qui utilisaient des URL piégées menant à une archive ZIP malveillante sur un serveur Web compromis. L'archive contient un document leurre et un fichier LNK malveillant qui installe une porte dérobée appelée PowerMagic lorsqu'elle est ouverte.

Cette porte dérobée est écrite en PowerShell et établit un contact avec un serveur distant, exécutant des commandes arbitraires et exfiltrant les résultats vers des services cloud tels que Dropbox et Microsoft OneDrive. PowerMagic est également utilisé pour déployer le framework CommonMagic, qui est un ensemble de modules exécutables conçus pour interagir avec le serveur de commande et de contrôle (C2), chiffrer et déchiffrer le trafic C2 et exécuter des plug-ins. Deux des plugins découverts jusqu'à présent permettent de capturer des captures d'écran et de collecter des fichiers d'intérêt à partir de périphériques USB connectés. Les chercheurs n'ont trouvé aucune preuve reliant l'opération et ses outils à un acteur ou un groupe menaçant connu, et la campagne est peut-être passée inaperçue pendant plus d'un an et demi.

Un chercheur a noté que si les logiciels malveillants et les techniques utilisés dans la campagne CommonMagic ne peuvent pas être qualifiés de très avancés, l'utilisation du stockage en nuage comme infrastructure de commande et de contrôle est remarquable et met en évidence la façon dont la géopolitique peut influencer le paysage des cybermenaces.

Comment des logiciels malveillants tels que Bad Magic peuvent-ils utiliser les services cloud pour nuire ?

Les logiciels malveillants comme Bad Magic peuvent utiliser les services cloud pour nuire en les utilisant comme une infrastructure de commande et de contrôle (C2) pour la communication avec ses opérateurs. Dans le cas de Bad Magic, la porte dérobée nommée PowerMagic établit un contact avec un serveur distant et exfiltre les résultats de ses commandes arbitraires exécutées vers des services cloud comme Dropbox et Microsoft OneDrive. PowerMagic est également utilisé pour déployer le framework CommonMagic, qui effectue des tâches spécifiques telles que l'interaction avec le serveur C2, le chiffrement et le déchiffrement du trafic C2 et l'exécution de plugins.

L'utilisation du stockage dans le cloud pour l'infrastructure C2 peut rendre plus difficile pour les équipes de sécurité la détection et le blocage de la communication du logiciel malveillant, car le trafic ressemble à une activité légitime de stockage dans le cloud. De plus, les attaquants peuvent tirer parti de l'évolutivité et de la flexibilité des services cloud pour stocker et distribuer des fichiers malveillants, ce qui leur permet d'échapper plus facilement à la détection et de maintenir la persistance. Dans l'ensemble, l'utilisation des services cloud par des logiciels malveillants tels que Bad Magic souligne l'importance de la mise en œuvre de mesures de sécurité et de techniques de surveillance solides pour les environnements cloud.