CommonMagic brukt i angrep mot Ukraina
Under den pågående konflikten mellom Russland og Ukraina har ulike regjerings-, landbruks- og transportorganisasjoner lokalisert i Donetsk, Lugansk og Krim blitt målrettet mot et nytt modulært rammeverk kalt CommonMagic som del av en aktiv kampanje.
Et russisk cybersikkerhetsselskap som oppdaget angrepene i oktober 2022, overvåker aktivitetsklyngen under navnet «Bad Magic». Angrepene antas å ha startet med en spyd-phishing-kampanje eller lignende metoder som brukte booby-fangede URL-er som førte til et ondsinnet ZIP-arkiv på en kompromittert nettserver. Arkivet inneholder et lokkedokument og en ondsinnet LNK-fil som installerer en bakdør kalt PowerMagic når den åpnes.
Denne bakdøren er skrevet i PowerShell og etablerer kontakt med en ekstern server, utfører vilkårlige kommandoer og eksfiltrerer resultater til skytjenester som Dropbox og Microsoft OneDrive. PowerMagic brukes også til å distribuere CommonMagic-rammeverket, som er et sett med kjørbare moduler designet for å samhandle med kommando-og-kontroll-serveren (C2), kryptere og dekryptere C2-trafikk og kjøre plugins. To av pluginene som er oppdaget så langt gjør det mulig å ta skjermbilder og samle filer av interesse fra tilkoblede USB-enheter. Forskerne fant ingen bevis som knytter operasjonen og dens verktøy til noen kjent trusselaktør eller gruppe, og kampanjen kan ha gått ubemerket hen i over halvannet år.
En forsker bemerket at selv om skadevare og teknikkene som brukes i CommonMagic-kampanjen ikke kan kalles veldig avanserte, er bruken av skylagring som kommando-og-kontroll-infrastruktur bemerkelsesverdig og fremhever hvordan geopolitikk kan påvirke cybertrussellandskapet.
Hvordan kan skadelig programvare som Bad Magic bruke skytjenester for å gjøre skade?
Skadelig programvare som Bad Magic kan bruke skytjenester til å gjøre skade ved å bruke dem som en kommando-og-kontroll (C2) infrastruktur for kommunikasjon med operatørene. Når det gjelder Bad Magic, etablerer bakdøren ved navn PowerMagic kontakt med en ekstern server og eksfiltrerer resultatene av dens utførte vilkårlige kommandoer til skytjenester som Dropbox og Microsoft OneDrive. PowerMagic brukes også til å distribuere CommonMagic-rammeverket, som utfører spesifikke oppgaver som å samhandle med C2-serveren, kryptere og dekryptere C2-trafikk og utføre plugins.
Bruken av skylagring for C2-infrastruktur kan gjøre det mer utfordrende for sikkerhetsteam å oppdage og blokkere skadevarens kommunikasjon, ettersom trafikken ser ut som legitim skylagringsaktivitet. I tillegg kan angripere utnytte skalerbarheten og fleksibiliteten til skytjenester for å lagre og distribuere ondsinnede filer, noe som gjør det lettere for dem å unngå oppdagelse og opprettholde utholdenhet. Totalt sett understreker bruken av skytjenester av skadelig programvare som Bad Magic viktigheten av å implementere sterke sikkerhetstiltak og overvåkingsteknikker for skymiljøer.
