Az Ukrajna elleni támadásokban használt CommonMagic

Az Oroszország és Ukrajna között zajló konfliktus során a Donyeckben, Luganszkban és a Krím-félszigeten található különböző kormányzati, mezőgazdasági és közlekedési szervezeteket a CommonMagic nevű új moduláris keretrendszer vette célba egy aktív kampány részeként.

Egy orosz kiberbiztonsági vállalat, amely 2022 októberében észlelte a támadásokat, „Bad Magic” néven figyeli a tevékenységi klasztert. A támadások feltehetően egy lándzsás adathalász kampánysal vagy hasonló módszerekkel kezdődtek, amelyek csapdába esett URL-eket használtak, és egy rosszindulatú ZIP-archívumhoz vezettek egy feltört webszerveren. Az archívum egy csali dokumentumot és egy rosszindulatú LNK fájlt tartalmaz, amely megnyitásakor telepíti a PowerMagic nevű hátsó ajtót.

Ez a hátsó ajtó PowerShellben íródott, és kapcsolatot létesít egy távoli szerverrel, tetszőleges parancsokat hajt végre, és az eredményeket felhőszolgáltatásokba, például a Dropboxba és a Microsoft OneDrive-ba szűri ki. A PowerMagic a CommonMagic keretrendszer üzembe helyezésére is szolgál, amely olyan végrehajtható modulok készlete, amelyek a parancs- és vezérlőkiszolgálóval (C2) való interakcióra, a C2 forgalom titkosítására és visszafejtésére, valamint a beépülő modulok végrehajtására szolgálnak. Az eddig felfedezett beépülő modulok közül kettő lehetővé teszi képernyőképek rögzítését és érdekes fájlok összegyűjtését a csatlakoztatott USB-eszközökről. A kutatók nem találtak bizonyítékot arra, hogy a műveletet és annak eszközeit bármely ismert fenyegető szereplővel vagy csoporttal összekapcsolták volna, és a kampányt több mint másfél évig nem vették észre.

Egy kutató megjegyezte, hogy bár a CommonMagic kampányban használt rosszindulatú programok és technikák nem nevezhetők túl fejlettnek, figyelemre méltó a felhőalapú tárolás parancs- és irányítási infrastruktúraként való használata, és rávilágít arra, hogy a geopolitika hogyan befolyásolhatja a kiberfenyegetéseket.

Hogyan használhatják a rosszindulatú programok, mint a Bad Magic, a felhőszolgáltatásokat károk okozására?

A rosszindulatú programok, mint például a Bad Magic, a felhőszolgáltatásokkal kárt okoznak azáltal, hogy parancs- és vezérlési (C2) infrastruktúraként használják őket az üzemeltetőivel való kommunikációhoz. A Bad Magic esetében a PowerMagic nevű hátsó ajtó kapcsolatot létesít egy távoli szerverrel, és kiszűri a végrehajtott tetszőleges parancsok eredményeit a felhőszolgáltatásokba, mint például a Dropbox és a Microsoft OneDrive. A PowerMagic a CommonMagic keretrendszer telepítésére is szolgál, amely olyan speciális feladatokat hajt végre, mint például a C2 szerverrel való interakció, a C2 forgalom titkosítása és visszafejtése, valamint a beépülő modulok végrehajtása.

A felhőalapú tárolás használata a C2 infrastruktúrához nagyobb kihívást jelenthet a biztonsági csapatok számára a kártevő kommunikációjának észlelésében és blokkolásában, mivel a forgalom legitim felhőalapú tárolási tevékenységnek tűnik. Ezenkívül a támadók kihasználhatják a felhőszolgáltatások méretezhetőségét és rugalmasságát a rosszindulatú fájlok tárolására és terjesztésére, így könnyebben kikerülhetik az észlelést, és megőrizhetik a perzisztenciát. Összességében a felhőszolgáltatások rosszindulatú programok, például a Bad Magic általi használata aláhúzza az erős biztonsági intézkedések és megfigyelési technikák alkalmazásának fontosságát a felhőkörnyezetekben.