PowerMagic は、ウクライナに対して使用されるマルウェア フレームワークの一部です
ロシアとウクライナの間で進行中の紛争の中で、ドネツク、ルガンスク、およびクリミアで活動しているいくつかの組織が、アクティブなキャンペーンの一環として、CommonMagic として知られる新しいモジュラー フレームワークの標的になっています。標的にされた組織には、政府、農業、運輸部門の組織が含まれます。これらの攻撃は、2022 年 10 月にロシアのサイバーセキュリティ会社によって検出され、「Bad Magic」という名前でアクティビティ クラスターを監視していました。
攻撃は、スピア フィッシング キャンペーンまたは同様の方法で開始されたと考えられており、ブービー トラップ URL を使用して、侵害された Web サーバーに配置された悪意のある ZIP アーカイブに誘導します。このアーカイブには、おとり文書と、開くと PowerMagic と呼ばれるバックドアをインストールする悪意のある LNK ファイルが含まれています。
バックドアは PowerShell で作成され、リモート サーバーとの接続を確立して、任意のコマンドを実行し、その結果を Dropbox や Microsoft OneDrive などのクラウド サービスに流出させます。 PowerMagic は、CommonMagic フレームワークの展開にも使用されます。CommonMagic フレームワークは、コマンド アンド コントロール (C2) サーバーとのやり取り、C2 トラフィックの暗号化と復号化、およびプラグインの実行を行うように設計された実行可能モジュールのコレクションです。これまでに発見された 2 つのプラグインは、接続された USB デバイスからスクリーンショットをキャプチャし、関心のあるファイルを収集することを可能にします。
研究者が、この操作とそのツールを既知の脅威アクターまたはグループに関連付ける証拠を発見していないことは注目に値します。このキャンペーンは、1 年半以上気付かれなかった可能性があります。 CommonMagic キャンペーンで使用されたマルウェアと技術は高度なものとは見なされないかもしれませんが、コマンド アンド コントロール インフラストラクチャとしてのクラウド ストレージの使用は注目に値します。これは、地政学がサイバー脅威の状況にどのように影響するかを強調しています。
全体として、この攻撃は、特に地政学的な緊張がそのような脅威を悪化させる可能性がある地域では、進化するサイバー脅威に直面して警戒を強化する必要性を浮き彫りにしています。組織は、スピア フィッシング キャンペーンや類似の手法の可能性に常に注意を払い、サイバー攻撃の疑いのあるインシデントに迅速かつ効果的に対応できるように準備する必要があります。