CommonMagic gebruikt bij aanvallen op Oekraïne

Tijdens het voortdurende conflict tussen Rusland en Oekraïne zijn verschillende overheids-, landbouw- en transportorganisaties in Donetsk, Lugansk en de Krim het doelwit geweest van een nieuw modulair raamwerk genaamd CommonMagic als onderdeel van een actieve campagne.

Een Russisch cyberbeveiligingsbedrijf dat de aanvallen in oktober 2022 detecteerde, houdt het activiteitencluster in de gaten onder de naam 'Bad Magic'. Aangenomen wordt dat de aanvallen zijn begonnen met een spear phishing-campagne of vergelijkbare methoden die boobytrap-URL's gebruikten die leidden tot een kwaadaardig ZIP-archief op een gecompromitteerde webserver. Het archief bevat een lokdocument en een kwaadaardig LNK-bestand dat bij het openen een achterdeur genaamd PowerMagic installeert.

Deze achterdeur is geschreven in PowerShell en maakt contact met een externe server, voert willekeurige opdrachten uit en exfiltreert de resultaten naar cloudservices zoals Dropbox en Microsoft OneDrive. PowerMagic wordt ook gebruikt om het CommonMagic-framework te implementeren, een set uitvoerbare modules die zijn ontworpen om te communiceren met de command-and-control (C2) -server, C2-verkeer te coderen en te decoderen en plug-ins uit te voeren. Twee van de plug-ins die tot nu toe zijn ontdekt, maken het mogelijk om screenshots te maken en interessante bestanden te verzamelen van aangesloten USB-apparaten. De onderzoekers vonden geen bewijs dat de operatie en de bijbehorende tools in verband bracht met een bekende dreigingsacteur of -groep, en de campagne is mogelijk meer dan anderhalf jaar onopgemerkt gebleven.

Een onderzoeker merkte op dat hoewel de malware en technieken die in de CommonMagic-campagne worden gebruikt, niet erg geavanceerd kunnen worden genoemd, het gebruik van cloudopslag als commando- en controle-infrastructuur opmerkelijk is en laat zien hoe geopolitiek het cyberdreigingslandschap kan beïnvloeden.

Hoe kan malware zoals Bad Magic cloudservices gebruiken om schade aan te richten?

Malware zoals Bad Magic kan cloudservices gebruiken om schade aan te richten door ze te gebruiken als een command-and-control (C2)-infrastructuur voor communicatie met zijn operators. In het geval van Bad Magic maakt de achterdeur genaamd PowerMagic contact met een externe server en exfiltreert de resultaten van de uitgevoerde willekeurige opdrachten naar cloudservices zoals Dropbox en Microsoft OneDrive. PowerMagic wordt ook gebruikt om het CommonMagic-framework in te zetten, dat specifieke taken uitvoert, zoals interactie met de C2-server, het versleutelen en ontsleutelen van C2-verkeer en het uitvoeren van plug-ins.

Het gebruik van cloudopslag voor C2-infrastructuur kan het voor beveiligingsteams moeilijker maken om de communicatie van de malware te detecteren en te blokkeren, aangezien het verkeer eruit ziet als legitieme cloudopslagactiviteit. Bovendien kunnen aanvallers gebruikmaken van de schaalbaarheid en flexibiliteit van cloudservices om schadelijke bestanden op te slaan en te verspreiden, waardoor het voor hen gemakkelijker wordt om detectie te omzeilen en persistentie te behouden. Over het algemeen onderstreept het gebruik van cloudservices door malware zoals Bad Magic het belang van het implementeren van krachtige beveiligingsmaatregelen en monitoringtechnieken voor cloudomgevingen.