CommonMagic użyta w atakach na Ukrainę

Podczas trwającego konfliktu między Rosją a Ukrainą różne organizacje rządowe, rolnicze i transportowe zlokalizowane w Doniecku, Ługańsku i na Krymie stały się celem nowej modułowej struktury o nazwie CommonMagic w ramach aktywnej kampanii.

Rosyjska firma zajmująca się cyberbezpieczeństwem, która wykryła ataki w październiku 2022 r., monitoruje klaster aktywności pod nazwą „Bad Magic”. Uważa się, że ataki rozpoczęły się od kampanii typu spear phishing lub podobnych metod wykorzystujących pułapki URL prowadzące do złośliwego archiwum ZIP na zaatakowanym serwerze internetowym. Archiwum zawiera zwodniczy dokument i złośliwy plik LNK, który po otwarciu instaluje backdoora o nazwie PowerMagic.

Ten backdoor jest napisany w PowerShell i nawiązuje kontakt ze zdalnym serwerem, wykonując dowolne polecenia i eksfiltrując wyniki do usług w chmurze, takich jak Dropbox i Microsoft OneDrive. PowerMagic jest również używany do wdrażania platformy CommonMagic, która jest zestawem wykonywalnych modułów zaprojektowanych do interakcji z serwerem dowodzenia i kontroli (C2), szyfrowania i deszyfrowania ruchu C2 oraz wykonywania wtyczek. Dwie z dotychczas odkrytych wtyczek umożliwiają przechwytywanie zrzutów ekranu i zbieranie interesujących plików z podłączonych urządzeń USB. Badacze nie znaleźli dowodów łączących operację i jej narzędzia z jakimkolwiek znanym ugrupowaniem lub ugrupowaniem cyberprzestępczym, a kampania mogła pozostać niezauważona przez ponad półtora roku.

Pewien badacz zauważył, że chociaż złośliwego oprogramowania i technik wykorzystywanych w kampanii CommonMagic nie można nazwać bardzo zaawansowanymi, wykorzystanie pamięci masowej w chmurze jako infrastruktury dowodzenia i kontroli jest godne uwagi i podkreśla, w jaki sposób geopolityka może wpływać na krajobraz cyberzagrożeń.

W jaki sposób złośliwe oprogramowanie, takie jak Bad Magic, może wykorzystywać usługi w chmurze do wyrządzania szkód?

Złośliwe oprogramowanie, takie jak Bad Magic, może wykorzystywać usługi w chmurze do wyrządzania szkód, wykorzystując je jako infrastrukturę dowodzenia i kontroli (C2) do komunikacji ze swoimi operatorami. W przypadku Bad Magic backdoor o nazwie PowerMagic nawiązuje kontakt ze zdalnym serwerem i eksfiltruje wyniki wykonanych przez siebie arbitralnych poleceń do usług w chmurze, takich jak Dropbox i Microsoft OneDrive. PowerMagic jest również używany do wdrażania platformy CommonMagic, która wykonuje określone zadania, takie jak interakcja z serwerem C2, szyfrowanie i deszyfrowanie ruchu C2 oraz uruchamianie wtyczek.

Korzystanie z pamięci masowej w chmurze dla infrastruktury C2 może utrudnić zespołom ds. bezpieczeństwa wykrywanie i blokowanie komunikacji złośliwego oprogramowania, ponieważ ruch wygląda na legalną aktywność w chmurze. Ponadto osoby atakujące mogą wykorzystać skalowalność i elastyczność usług w chmurze do przechowywania i dystrybucji złośliwych plików, ułatwiając im unikanie wykrycia i utrzymywanie trwałości. Ogólnie rzecz biorąc, korzystanie z usług w chmurze przez złośliwe oprogramowanie, takie jak Bad Magic, podkreśla znaczenie wdrożenia silnych środków bezpieczeństwa i technik monitorowania w środowiskach chmurowych.