„CommonMagic“, naudojama atakose prieš Ukrainą
Vykstant konfliktui tarp Rusijos ir Ukrainos, įvairios vyriausybės, žemės ūkio ir transporto organizacijos, esančios Donecke, Luganske ir Kryme, buvo nukreiptos į naują modulinę sistemą, pavadintą „CommonMagic“, kaip aktyvios kampanijos dalį.
Rusijos kibernetinio saugumo įmonė, aptikusi atakas 2022 m. spalį, stebi veiklos klasterį pavadinimu „Bloga magija“. Manoma, kad atakos prasidėjo nuo sukčiavimo kampanijų ar panašių metodų, kai buvo naudojami slapti URL, vedantys į kenkėjišką ZIP archyvą pažeistame žiniatinklio serveryje. Archyve yra apgaulės dokumentas ir kenkėjiškas LNK failas, kuris atidarius įdiegia užpakalines duris, pavadintas „PowerMagic“.
Šios užpakalinės durys parašytos „PowerShell“ ir užmezga ryšį su nuotoliniu serveriu, vykdo savavališkas komandas ir išfiltruoja rezultatus į debesies paslaugas, tokias kaip „Dropbox“ ir „Microsoft OneDrive“. „PowerMagic“ taip pat naudojama diegti „CommonMagic“ sistemą, kuri yra vykdomųjų modulių rinkinys, skirtas sąveikauti su komandų ir valdymo (C2) serveriu, užšifruoti ir iššifruoti C2 srautą ir vykdyti papildinius. Du iš iki šiol atrastų įskiepių leidžia fiksuoti ekrano kopijas ir rinkti dominančius failus iš prijungtų USB įrenginių. Tyrėjai nerado įrodymų, siejančių operaciją ir jos įrankius su kokiu nors žinomu grėsmės veikėju ar grupe, o kampanija galėjo būti nepastebėta daugiau nei pusantrų metų.
Tyrėjas pažymėjo, kad nors „CommonMagic“ kampanijoje naudojamos kenkėjiškos programos ir metodai negali būti vadinami labai pažangiais, debesų saugyklos kaip komandų ir valdymo infrastruktūros naudojimas yra vertas dėmesio ir pabrėžia, kaip geopolitika gali paveikti kibernetinių grėsmių aplinką.
Kaip kenkėjiškos programos, tokios kaip „Bad Magic“, gali naudoti debesų paslaugas, kad padarytų žalą?
Kenkėjiškos programos, tokios kaip „Bad Magic“, gali naudoti debesies paslaugas, kad padarytų žalą, naudodamos jas kaip komandų ir valdymo (C2) infrastruktūrą bendravimui su operatoriais. „Bad Magic“ atveju užpakalinės durys, pavadintos „PowerMagic“, užmezga ryšį su nuotoliniu serveriu ir jo vykdomų savavališkų komandų rezultatus išfiltruoja į debesies paslaugas, tokias kaip „Dropbox“ ir „Microsoft OneDrive“. „PowerMagic“ taip pat naudojama diegti „CommonMagic“ sistemą, kuri atlieka specifines užduotis, tokias kaip sąveika su C2 serveriu, C2 srauto šifravimas ir iššifravimas bei įskiepių vykdymas.
Naudojant debesies saugyklą C2 infrastruktūrai, saugos komandoms gali būti sunkiau aptikti ir blokuoti kenkėjiškų programų ryšį, nes srautas atrodo kaip teisėta debesies saugykla. Be to, užpuolikai gali pasinaudoti debesies paslaugų masteliu ir lankstumu, kad saugotų ir platintų kenkėjiškus failus, todėl jiems lengviau išvengti aptikimo ir išlaikyti pastovumą. Apskritai, debesų paslaugų naudojimas naudojant kenkėjiškas programas, pvz., „Bad Magic“, pabrėžia, kad svarbu įdiegti patikimas debesų aplinkos apsaugos priemones ir stebėjimo metodus.
