CommonMagic usado em ataques contra a Ucrânia
Durante o conflito em andamento entre a Rússia e a Ucrânia, várias organizações governamentais, agrícolas e de transporte localizadas em Donetsk, Lugansk e na Crimeia foram alvo de uma nova estrutura modular chamada CommonMagic como parte de uma campanha ativa.
Uma empresa russa de segurança cibernética que detectou os ataques em outubro de 2022 está monitorando o cluster de atividades sob o nome de "Bad Magic". Acredita-se que os ataques tenham começado com uma campanha de spear phishing ou métodos semelhantes que usavam URLs com armadilhas que levavam a um arquivo ZIP malicioso em um servidor da Web comprometido. O arquivo contém um documento isca e um arquivo LNK malicioso que instala um backdoor chamado PowerMagic quando aberto.
Este backdoor é escrito em PowerShell e estabelece contato com um servidor remoto, executando comandos arbitrários e exfiltrando resultados para serviços em nuvem como Dropbox e Microsoft OneDrive. O PowerMagic também é usado para implantar a estrutura CommonMagic, que é um conjunto de módulos executáveis projetados para interagir com o servidor de comando e controle (C2), criptografar e descriptografar o tráfego C2 e executar plug-ins. Dois dos plugins descobertos até agora permitem capturar screenshots e reunir arquivos de interesse de dispositivos USB conectados. Os pesquisadores não encontraram nenhuma evidência ligando a operação e suas ferramentas a qualquer agente ou grupo de ameaças conhecido, e a campanha pode ter passado despercebida por mais de um ano e meio.
Um pesquisador observou que, embora o malware e as técnicas usadas na campanha CommonMagic não possam ser consideradas muito avançadas, o uso do armazenamento em nuvem como infraestrutura de comando e controle é digno de nota e destaca como a geopolítica pode influenciar o cenário de ameaças cibernéticas.
Como um malware como o Bad Magic pode usar serviços em nuvem para causar danos?
Malware como Bad Magic pode usar serviços de nuvem para causar danos, utilizando-os como uma infraestrutura de comando e controle (C2) para comunicação com seus operadores. No caso do Bad Magic, o backdoor chamado PowerMagic estabelece contato com um servidor remoto e exfiltra os resultados de seus comandos arbitrários executados para serviços em nuvem como Dropbox e Microsoft OneDrive. O PowerMagic também é usado para implantar a estrutura CommonMagic, que executa tarefas específicas, como interagir com o servidor C2, criptografar e descriptografar o tráfego C2 e executar plug-ins.
O uso de armazenamento em nuvem para infraestrutura C2 pode tornar mais desafiador para as equipes de segurança detectar e bloquear a comunicação do malware, pois o tráfego parece uma atividade legítima de armazenamento em nuvem. Além disso, os invasores podem aproveitar a escalabilidade e a flexibilidade dos serviços em nuvem para armazenar e distribuir arquivos maliciosos, facilitando a fuga da detecção e a manutenção da persistência. No geral, o uso de serviços em nuvem por malware como Bad Magic ressalta a importância da implementação de fortes medidas de segurança e técnicas de monitoramento para ambientes em nuvem.