PowerMagic fait partie d'un cadre de logiciels malveillants utilisé contre l'Ukraine
Au milieu du conflit en cours entre la Russie et l'Ukraine, plusieurs organisations opérant à Donetsk, Lougansk et en Crimée ont été ciblées par un nouveau cadre modulaire connu sous le nom de CommonMagic, dans le cadre d'une campagne active. Les organisations ciblées comprennent celles des secteurs du gouvernement, de l'agriculture et des transports. Ces attaques ont été détectées par une société russe de cybersécurité en octobre 2022, qui surveillait le cluster d'activités sous le nom de "Bad Magic".
On pense que les attaques ont commencé par une campagne de harponnage, ou des méthodes similaires, qui utilisaient des URL piégées menant à une archive ZIP malveillante située sur un serveur Web compromis. Cette archive contient un document leurre et un fichier LNK malveillant qui, lorsqu'il est ouvert, installe une porte dérobée appelée PowerMagic.
La porte dérobée est écrite en PowerShell et établit un contact avec un serveur distant, permettant l'exécution de commandes arbitraires et l'exfiltration des résultats vers des services cloud tels que Dropbox et Microsoft OneDrive. PowerMagic est également utilisé pour déployer le framework CommonMagic, qui est une collection de modules exécutables conçus pour interagir avec le serveur de commande et de contrôle (C2), chiffrer et déchiffrer le trafic C2 et exécuter des plug-ins. Deux plugins qui ont été découverts jusqu'à présent permettent la capture de captures d'écran et la collecte de fichiers d'intérêt à partir de périphériques USB connectés.
Il convient de noter que les chercheurs n'ont trouvé aucune preuve reliant cette opération et ses outils à un acteur ou groupe de menace connu. La campagne est peut-être passée inaperçue pendant plus d'un an et demi. Bien que les logiciels malveillants et les techniques utilisés dans la campagne CommonMagic ne soient pas considérés comme très avancés, l'utilisation du stockage en nuage comme infrastructure de commande et de contrôle est remarquable. Cela met en évidence la façon dont la géopolitique peut influencer le paysage des cybermenaces.
Dans l'ensemble, cette attaque souligne la nécessité d'une vigilance accrue face à l'évolution des cybermenaces, en particulier dans les régions où les tensions géopolitiques peuvent exacerber ces menaces. Les organisations doivent rester attentives à la possibilité de campagnes de harponnage et de méthodes similaires, et être prêtes à réagir rapidement et efficacement à tout incident suspecté de cyberattaques.