PowerMagic jest częścią złośliwego oprogramowania wykorzystywanego przeciwko Ukrainie
W środku trwającego konfliktu między Rosją a Ukrainą kilka organizacji działających w Doniecku, Ługańsku i na Krymie stało się celem nowej modułowej struktury znanej jako CommonMagic w ramach aktywnej kampanii. Wśród docelowych organizacji znajdują się organizacje rządowe, rolnictwo i transport. Ataki te zostały wykryte przez rosyjską firmę zajmującą się cyberbezpieczeństwem w październiku 2022 r., która monitoruje klaster aktywności pod nazwą „Bad Magic”.
Uważa się, że ataki rozpoczęły się od kampanii spear phishingowej lub podobnych metod, w których wykorzystano pułapki URL prowadzące do złośliwego archiwum ZIP znajdującego się na zaatakowanym serwerze internetowym. To archiwum zawiera zwodniczy dokument i złośliwy plik LNK, który po otwarciu instaluje backdoora o nazwie PowerMagic.
Backdoor jest napisany w PowerShell i nawiązuje kontakt ze zdalnym serwerem, umożliwiając wykonywanie dowolnych poleceń i eksfiltrację wyników do usług w chmurze, takich jak Dropbox i Microsoft OneDrive. PowerMagic jest również używany do wdrażania platformy CommonMagic, która jest zbiorem wykonywalnych modułów zaprojektowanych do interakcji z serwerem dowodzenia i kontroli (C2), szyfrowania i deszyfrowania ruchu C2 oraz uruchamiania wtyczek. Dwie dotychczas odkryte wtyczki pozwalają na przechwytywanie zrzutów ekranu i gromadzenie interesujących plików z podłączonych urządzeń USB.
Warto zauważyć, że badacze nie znaleźli żadnych dowodów łączących tę operację i jej narzędzia z jakimkolwiek znanym cyberprzestępcą lub grupą. Kampania mogła pozostać niezauważona przez ponad półtora roku. Chociaż złośliwe oprogramowanie i techniki wykorzystywane w kampanii CommonMagic mogą nie być uważane za wysoce zaawansowane, wykorzystanie pamięci masowej w chmurze jako infrastruktury dowodzenia i kontroli jest godne uwagi. Pokazuje to, w jaki sposób geopolityka może wpływać na krajobraz cyberzagrożeń.
Ogólnie rzecz biorąc, ten atak podkreśla potrzebę zwiększonej czujności w obliczu ewoluujących zagrożeń cybernetycznych, zwłaszcza w regionach, w których napięcia geopolityczne mogą nasilać takie zagrożenia. Organizacje powinny być wyczulone na możliwość kampanii typu „spear phishing” i podobnych metod oraz być przygotowane na szybką i skuteczną reakcję na wszelkie podejrzewane incydenty cyberataków.