CommonMagic используется в атаках на Украину

Во время продолжающегося конфликта между Россией и Украиной различные правительственные, сельскохозяйственные и транспортные организации, расположенные в Донецке, Луганске и Крыму, стали мишенью новой модульной структуры под названием CommonMagic в рамках активной кампании.

Российская компания по кибербезопасности, обнаружившая атаки в октябре 2022 года, отслеживает активность кластера под названием «Плохая магия». Предполагается, что атаки начались с кампании целевого фишинга или аналогичных методов, в которых использовались URL-адреса-ловушки, ведущие к вредоносному ZIP-архиву на скомпрометированном веб-сервере. Архив содержит документ-приманку и вредоносный LNK-файл, который при открытии устанавливает бэкдор под названием PowerMagic.

Этот бэкдор написан на PowerShell и устанавливает связь с удаленным сервером, выполняя произвольные команды и эксфильтрируя результаты в облачные сервисы, такие как Dropbox и Microsoft OneDrive. PowerMagic также используется для развертывания инфраструктуры CommonMagic, которая представляет собой набор исполняемых модулей, предназначенных для взаимодействия с сервером управления и контроля (C2), шифрования и дешифрования трафика C2 и выполнения подключаемых модулей. Два из обнаруженных на данный момент плагинов позволяют делать снимки экрана и собирать интересующие файлы с подключенных USB-устройств. Исследователи не нашли доказательств связи операции и ее инструментов с каким-либо известным злоумышленником или группой, и кампания могла оставаться незамеченной более полутора лет.

Исследователь отметил, что, хотя вредоносное ПО и методы, используемые в кампании CommonMagic, нельзя назвать очень продвинутыми, использование облачных хранилищ в качестве инфраструктуры управления и контроля заслуживает внимания и подчеркивает, как геополитика может влиять на ландшафт киберугроз.

Как вредоносные программы, такие как Bad Magic, могут использовать облачные сервисы для нанесения вреда?

Вредоносное ПО, такое как Bad Magic, может использовать облачные сервисы для нанесения вреда, используя их в качестве инфраструктуры управления и контроля (C2) для связи со своими операторами. В случае с Bad Magic бэкдор под названием PowerMagic устанавливает связь с удаленным сервером и передает результаты выполненных им произвольных команд в облачные сервисы, такие как Dropbox и Microsoft OneDrive. PowerMagic также используется для развертывания инфраструктуры CommonMagic, которая выполняет определенные задачи, такие как взаимодействие с сервером C2, шифрование и дешифрование трафика C2 и выполнение подключаемых модулей.

Использование облачного хранилища для инфраструктуры C2 может усложнить задачам службы безопасности обнаруживать и блокировать передачу вредоносного ПО, поскольку трафик выглядит как законная активность облачного хранилища. Кроме того, злоумышленники могут использовать масштабируемость и гибкость облачных сервисов для хранения и распространения вредоносных файлов, что упрощает их обнаружение и сохранение. В целом, использование облачных сервисов такими вредоносными программами, как Bad Magic, подчеркивает важность применения надежных мер безопасности и методов мониторинга для облачных сред.