PowerMagic является частью вредоносных программ, используемых против Украины

В разгар продолжающегося конфликта между Россией и Украиной несколько организаций, действующих в Донецке, Луганске и Крыму, стали мишенью новой модульной структуры, известной как CommonMagic, в рамках активной кампании. В число целевых организаций входят организации, работающие в правительстве, сельском хозяйстве и транспортном секторе. Эти атаки были обнаружены российской компанией по кибербезопасности в октябре 2022 года, которая отслеживала активность кластера под названием «Bad Magic».

Считается, что атаки начались с кампании целевого фишинга или аналогичных методов, в которых использовались заминированные URL-адреса, ведущие к вредоносному ZIP-архиву, расположенному на скомпрометированном веб-сервере. Этот архив содержит документ-приманку и вредоносный LNK-файл, который при открытии устанавливает бэкдор под названием PowerMagic.

Бэкдор написан на PowerShell и устанавливает связь с удаленным сервером, позволяя выполнять произвольные команды и передавать результаты в облачные сервисы, такие как Dropbox и Microsoft OneDrive. PowerMagic также используется для развертывания инфраструктуры CommonMagic, которая представляет собой набор исполняемых модулей, предназначенных для взаимодействия с сервером управления и контроля (C2), шифрования и дешифрования трафика C2 и выполнения подключаемых модулей. Два плагина, которые были обнаружены на данный момент, позволяют делать снимки экрана и собирать интересующие файлы с подключенных USB-устройств.

Стоит отметить, что исследователи не нашли доказательств связи этой операции и ее инструментов с каким-либо известным злоумышленником или группой. Кампания могла оставаться незамеченной более полутора лет. Хотя вредоносное ПО и методы, использованные в кампании CommonMagic, нельзя считать передовыми, использование облачного хранилища в качестве командно-административной инфраструктуры заслуживает внимания. Это подчеркивает, как геополитика может влиять на ландшафт киберугроз.

В целом эта атака подчеркивает необходимость повышенной бдительности перед лицом развивающихся киберугроз, особенно в регионах, где геополитическая напряженность может усугубить такие угрозы. Организации должны сохранять бдительность в отношении возможности целевых фишинговых кампаний и подобных методов и быть готовыми быстро и эффективно реагировать на любые предполагаемые инциденты кибератак.