Magia comune utilizzata negli attacchi contro l'Ucraina
Durante il conflitto in corso tra Russia e Ucraina, varie organizzazioni governative, agricole e di trasporto situate a Donetsk, Lugansk e Crimea sono state prese di mira da un nuovo framework modulare chiamato CommonMagic come parte di una campagna attiva.
Una società di sicurezza informatica russa che ha rilevato gli attacchi nell'ottobre 2022, sta monitorando il cluster di attività sotto il nome di "Bad Magic". Si ritiene che gli attacchi siano iniziati con una campagna di spear phishing o metodi simili che utilizzavano URL esplosivi che portavano a un archivio ZIP dannoso su un server Web compromesso. L'archivio contiene un documento esca e un file LNK dannoso che installa una backdoor chiamata PowerMagic quando viene aperta.
Questa backdoor è scritta in PowerShell e stabilisce un contatto con un server remoto, eseguendo comandi arbitrari ed esfiltrando i risultati a servizi cloud come Dropbox e Microsoft OneDrive. PowerMagic viene utilizzato anche per distribuire il framework CommonMagic, che è un insieme di moduli eseguibili progettati per interagire con il server di comando e controllo (C2), crittografare e decrittografare il traffico C2 ed eseguire plug-in. Due dei plug-in scoperti finora consentono di acquisire schermate e raccogliere file di interesse dai dispositivi USB collegati. I ricercatori non hanno trovato prove che colleghino l'operazione e i suoi strumenti a nessun noto attore o gruppo di minacce e la campagna potrebbe essere passata inosservata per oltre un anno e mezzo.
Un ricercatore ha notato che mentre il malware e le tecniche utilizzate nella campagna CommonMagic non possono essere definiti molto avanzati, l'uso del cloud storage come infrastruttura di comando e controllo è degno di nota e sottolinea come la geopolitica possa influenzare il panorama delle minacce informatiche.
In che modo malware come Bad Magic possono utilizzare i servizi cloud per fare del male?
Malware come Bad Magic possono utilizzare i servizi cloud per fare del male utilizzandoli come un'infrastruttura di comando e controllo (C2) per la comunicazione con i suoi operatori. Nel caso di Bad Magic, la backdoor denominata PowerMagic stabilisce un contatto con un server remoto ed esfiltra i risultati dei suoi comandi arbitrari eseguiti a servizi cloud come Dropbox e Microsoft OneDrive. PowerMagic viene utilizzato anche per distribuire il framework CommonMagic, che svolge attività specifiche come l'interazione con il server C2, la crittografia e la decrittografia del traffico C2 e l'esecuzione di plug-in.
L'uso dell'archiviazione cloud per l'infrastruttura C2 può rendere più difficile per i team di sicurezza rilevare e bloccare la comunicazione del malware, poiché il traffico sembra un'attività di archiviazione cloud legittima. Inoltre, gli aggressori possono sfruttare la scalabilità e la flessibilità dei servizi cloud per archiviare e distribuire file dannosi, rendendo più facile per loro eludere il rilevamento e mantenere la persistenza. Nel complesso, l'utilizzo di servizi cloud da parte di malware come Bad Magic sottolinea l'importanza di implementare forti misure di sicurezza e tecniche di monitoraggio per gli ambienti cloud.