PowerMagic er en del av et skadelig programvarerammeverk som brukes mot Ukraina
Midt i den pågående konflikten mellom Russland og Ukraina har flere organisasjoner som opererer i Donetsk, Lugansk og Krim blitt målrettet av et nytt modulært rammeverk kjent som CommonMagic, som en del av en aktiv kampanje. Organisasjonene som er målrettet inkluderer de innen regjeringen, landbruket og transportsektoren. Disse angrepene ble oppdaget av et russisk cybersikkerhetsselskap i oktober 2022, som har overvåket aktivitetsklyngen under navnet «Bad Magic».
Det antas at angrepene begynte med en spyd-phishing-kampanje, eller lignende metoder, som brukte booby-fangede URL-er som førte til et ondsinnet ZIP-arkiv på en kompromittert nettserver. Dette arkivet inneholder et lokkedokument og en ondsinnet LNK-fil som, når den åpnes, installerer en bakdør kalt PowerMagic.
Bakdøren er skrevet i PowerShell og etablerer kontakt med en ekstern server, slik at vilkårlige kommandoer kan utføres og resultater eksfiltreres til skytjenester som Dropbox og Microsoft OneDrive. PowerMagic brukes også til å distribuere CommonMagic-rammeverket, som er en samling kjørbare moduler designet for å samhandle med kommando-og-kontroll-serveren (C2), kryptere og dekryptere C2-trafikk og kjøre plugins. To plugins som har blitt oppdaget så langt gjør det mulig å ta skjermbilder og samle filer av interesse fra tilkoblede USB-enheter.
Det er verdt å merke seg at forskerne ikke har funnet bevis som knytter denne operasjonen og dens verktøy til noen kjent trusselaktør eller gruppe. Kampanjen kan ha gått upåaktet hen i over halvannet år. Selv om skadevare og teknikkene som brukes i CommonMagic-kampanjen kanskje ikke anses som svært avanserte, er bruken av skylagring som kommando-og-kontroll-infrastruktur bemerkelsesverdig. Dette fremhever hvordan geopolitikk kan påvirke cybertrusslandskapet.
Samlet sett fremhever dette angrepet behovet for økt årvåkenhet i møte med utviklende cybertrusler, spesielt i regioner der geopolitiske spenninger kan forsterke slike trusler. Organisasjoner bør være oppmerksomme på muligheten for spyd-phishing-kampanjer og lignende metoder, og være forberedt på å reagere raskt og effektivt på alle mistenkte hendelser med nettangrep.