PowerMagic fa parte di un framework di malware utilizzato contro l'Ucraina
Nel bel mezzo del conflitto in corso tra Russia e Ucraina, diverse organizzazioni che operano a Donetsk, Lugansk e Crimea sono state prese di mira da un nuovo framework modulare noto come CommonMagic, come parte di una campagna attiva. Le organizzazioni prese di mira includono quelle del governo, dell'agricoltura e dei settori dei trasporti. Questi attacchi sono stati rilevati da una società di sicurezza informatica russa nell'ottobre 2022, che ha monitorato il cluster di attività sotto il nome di "Bad Magic".
Si ritiene che gli attacchi siano iniziati con una campagna di spear-phishing, o metodi simili, che utilizzavano URL con trappola esplosiva che portavano a un archivio ZIP dannoso situato su un server Web compromesso. Questo archivio contiene un documento esca e un file LNK dannoso che, una volta aperto, installa una backdoor chiamata PowerMagic.
La backdoor è scritta in PowerShell e stabilisce un contatto con un server remoto, consentendo l'esecuzione di comandi arbitrari e l'esfiltrazione dei risultati su servizi cloud come Dropbox e Microsoft OneDrive. PowerMagic viene utilizzato anche per distribuire il framework CommonMagic, che è una raccolta di moduli eseguibili progettati per interagire con il server di comando e controllo (C2), crittografare e decrittografare il traffico C2 ed eseguire plug-in. Due plug-in che sono stati scoperti finora consentono l'acquisizione di schermate e la raccolta di file di interesse dai dispositivi USB collegati.
Vale la pena notare che i ricercatori non hanno trovato prove che colleghino questa operazione e i suoi strumenti a nessun noto attore o gruppo di minacce. La campagna potrebbe essere passata inosservata per oltre un anno e mezzo. Sebbene il malware e le tecniche utilizzate nella campagna di CommonMagic possano non essere considerati molto avanzati, l'uso dell'archiviazione cloud come infrastruttura di comando e controllo è degno di nota. Ciò evidenzia come la geopolitica possa influenzare il panorama delle minacce informatiche.
Nel complesso, questo attacco evidenzia la necessità di una maggiore vigilanza di fronte all'evoluzione delle minacce informatiche, specialmente nelle regioni in cui le tensioni geopolitiche possono esacerbare tali minacce. Le organizzazioni dovrebbero rimanere attente alla possibilità di campagne di spear phishing e metodi simili ed essere pronte a rispondere prontamente ed efficacemente a qualsiasi sospetto episodio di attacco informatico.
