CommonMagic som används i attacker mot Ukraina
Under den pågående konflikten mellan Ryssland och Ukraina har olika regerings-, jordbruks- och transportorganisationer i Donetsk, Lugansk och Krim blivit föremål för ett nytt modulärt ramverk kallat CommonMagic som en del av en aktiv kampanj.
Ett ryskt cybersäkerhetsföretag som upptäckte attackerna i oktober 2022 övervakar aktivitetsklustret under namnet "Bad Magic". Attackerna tros ha börjat med en nätfiskekampanj eller liknande metoder som använde booby-fällda webbadresser som ledde till ett skadligt ZIP-arkiv på en intrång på en webbserver. Arkivet innehåller ett lockbetedokument och en skadlig LNK-fil som installerar en bakdörr som heter PowerMagic när den öppnas.
Denna bakdörr är skriven i PowerShell och upprättar kontakt med en fjärrserver, exekverar godtyckliga kommandon och exfiltrerar resultat till molntjänster som Dropbox och Microsoft OneDrive. PowerMagic används också för att distribuera CommonMagic-ramverket, som är en uppsättning körbara moduler utformade för att interagera med kommando-och-kontroll-servern (C2), kryptera och dekryptera C2-trafik och köra plugins. Två av plugin-programmen som hittills upptäckts gör det möjligt att ta skärmdumpar och samla in filer av intresse från anslutna USB-enheter. Forskarna hittade inga bevis som kopplade operationen och dess verktyg till någon känd hotaktör eller grupp, och kampanjen kan ha gått obemärkt förbi i över ett och ett halvt år.
En forskare noterade att även om skadlig programvara och tekniker som används i CommonMagic-kampanjen inte kan kallas särskilt avancerade, är användningen av molnlagring som kommando-och-kontrollinfrastruktur anmärkningsvärd och belyser hur geopolitik kan påverka cyberthotslandskapet.
Hur kan skadlig programvara som Bad Magic använda molntjänster för att skada?
Skadlig programvara som Bad Magic kan använda molntjänster för att göra skada genom att använda dem som en kommando-och-kontroll (C2) infrastruktur för kommunikation med sina operatörer. I fallet med Bad Magic etablerar bakdörren som heter PowerMagic kontakt med en fjärrserver och exfiltrerar resultaten av dess utförda godtyckliga kommandon till molntjänster som Dropbox och Microsoft OneDrive. PowerMagic används också för att distribuera CommonMagic-ramverket, som utför specifika uppgifter som att interagera med C2-servern, kryptera och dekryptera C2-trafik och exekvera plugins.
Användningen av molnlagring för C2-infrastruktur kan göra det mer utmanande för säkerhetsteam att upptäcka och blockera skadlig programvaras kommunikation, eftersom trafiken ser ut som legitim molnlagringsaktivitet. Dessutom kan angripare utnyttja skalbarheten och flexibiliteten hos molntjänster för att lagra och distribuera skadliga filer, vilket gör det lättare för dem att undvika upptäckt och upprätthålla uthållighet. Sammantaget understryker användningen av molntjänster av skadlig programvara som Bad Magic vikten av att implementera starka säkerhetsåtgärder och övervakningstekniker för molnmiljöer.
