A PowerMagic része az Ukrajna ellen használt rosszindulatú programok keretrendszerének

Az Oroszország és Ukrajna között zajló konfliktus közepette több Donyeckben, Luganszkban és Krímben működő szervezetet is célba vett a CommonMagic néven ismert új moduláris keretrendszer, egy aktív kampány részeként. A megcélzott szervezetek közé tartoznak a kormányzati, a mezőgazdasági és a közlekedési szektorban működő szervezetek. Ezeket a támadásokat egy orosz kiberbiztonsági vállalat észlelte 2022 októberében, amely „Bad Magic” néven figyeli a tevékenységi klasztert.

Feltételezhető, hogy a támadások egy lándzsás adathalász kampánysal vagy hasonló módszerekkel kezdődtek, amelyek csapdába esett URL-eket használtak, amelyek egy rosszindulatú ZIP-archívumhoz vezettek egy feltört webszerveren. Ez az archívum egy csali dokumentumot és egy rosszindulatú LNK fájlt tartalmaz, amely megnyitásakor telepíti a PowerMagic nevű hátsó ajtót.

A hátsó ajtó PowerShellben van írva, és kapcsolatot létesít egy távoli szerverrel, lehetővé téve tetszőleges parancsok végrehajtását, és az eredmények felhőszolgáltatásokba, például a Dropboxba és a Microsoft OneDrive-ba való átszivárgását. A PowerMagic a CommonMagic keretrendszer üzembe helyezésére is szolgál, amely olyan végrehajtható modulok gyűjteménye, amelyek a parancs- és vezérlőkiszolgálóval (C2) való interakcióra, a C2 forgalom titkosítására és visszafejtésére, valamint a beépülő modulok végrehajtására szolgálnak. Az eddig felfedezett két plugin lehetővé teszi képernyőképek rögzítését és az érdekes fájlok összegyűjtését a csatlakoztatott USB-eszközökről.

Érdemes megjegyezni, hogy a kutatók nem találtak bizonyítékot arra, hogy ez a művelet és eszközei bármilyen ismert fenyegető szereplővel vagy csoporttal összekapcsolódnának. A kampány több mint másfél évig észrevétlen maradhatott. Bár a CommonMagic kampányban használt rosszindulatú programok és technikák nem tekinthetők túl fejlettnek, figyelemre méltó a felhőalapú tárolás parancs- és vezérlő infrastruktúraként való használata. Ez rávilágít arra, hogy a geopolitika hogyan befolyásolhatja a kiberfenyegetéseket.

Összességében ez a támadás rávilágít arra, hogy fokozott éberségre van szükség a fejlődő kiberfenyegetésekkel szemben, különösen azokban a régiókban, ahol a geopolitikai feszültségek súlyosbíthatják az ilyen fenyegetéseket. A szervezeteknek továbbra is figyelniük kell az adathalász kampányok és hasonló módszerek lehetőségére, és fel kell készülniük arra, hogy azonnal és hatékonyan reagáljanak minden feltételezett kibertámadásra.