ウクライナに対する攻撃で使用された CommonMagic
ロシアとウクライナの間で進行中の紛争の間、ドネツク、ルガンスク、およびクリミアにあるさまざまな政府、農業、および運輸組織が、アクティブなキャンペーンの一環として、CommonMagic と呼ばれる新しいモジュール フレームワークの標的にされています。
2022 年 10 月に攻撃を検出したロシアのサイバーセキュリティ会社は、「Bad Magic」という名前で活動クラスターを監視しています。攻撃は、侵害された Web サーバー上に悪意のある ZIP アーカイブにつながる、ブービー トラップ URL を使用するスピア フィッシング キャンペーンまたは同様の方法で開始されたと考えられています。このアーカイブには、おとり文書と、開くと PowerMagic と呼ばれるバックドアをインストールする悪意のある LNK ファイルが含まれています。
このバックドアは PowerShell で記述され、リモート サーバーとの接続を確立し、任意のコマンドを実行して、結果を Dropbox や Microsoft OneDrive などのクラウド サービスに流出させます。 PowerMagic は、CommonMagic フレームワークの展開にも使用されます。CommonMagic フレームワークは、コマンド アンド コントロール (C2) サーバーとのやり取り、C2 トラフィックの暗号化と復号化、およびプラグインの実行を行うように設計された一連の実行可能モジュールです。これまでに発見されたプラグインのうち 2 つは、接続された USB デバイスからスクリーンショットをキャプチャし、関心のあるファイルを収集することを可能にします。研究者は、この作戦とそのツールを既知の脅威アクターまたはグループに関連付ける証拠を発見せず、キャンペーンは 1 年半以上気付かれなかった可能性があります。
ある研究者は、CommonMagic キャンペーンで使用されたマルウェアと技術は非常に高度とは言えませんが、コマンド アンド コントロール インフラストラクチャとしてのクラウド ストレージの使用は注目に値し、地政学がサイバー脅威の状況にどのように影響するかを強調しています。
Bad Magic のようなマルウェアがクラウド サービスを利用して害を及ぼす方法とは?
Bad Magic のようなマルウェアは、クラウド サービスをオペレーターとの通信用のコマンド アンド コントロール (C2) インフラストラクチャとして利用することで、クラウド サービスを悪用することができます。 Bad Magic の場合、PowerMagic という名前のバックドアがリモート サーバーとの接続を確立し、実行した任意のコマンドの結果を Dropbox や Microsoft OneDrive などのクラウド サービスに流出させます。 PowerMagic は、C2 サーバーとのやり取り、C2 トラフィックの暗号化と復号化、プラグインの実行などの特定のタスクを実行する CommonMagic フレームワークの展開にも使用されます。
C2 インフラストラクチャにクラウド ストレージを使用すると、トラフィックが正当なクラウド ストレージ アクティビティのように見えるため、セキュリティ チームがマルウェアの通信を検出してブロックすることがより困難になる可能性があります。さらに、攻撃者はクラウド サービスのスケーラビリティと柔軟性を利用して悪意のあるファイルを保存および配布し、検出を回避して持続性を維持することを容易にします。全体として、Bad Magic のようなマルウェアによるクラウド サービスの使用は、クラウド環境に強力なセキュリティ対策と監視技術を実装することの重要性を強調しています。