PowerMagic är en del av ett ramverk för skadlig programvara som används mot Ukraina

Mitt i den pågående konflikten mellan Ryssland och Ukraina har flera organisationer som verkar i Donetsk, Lugansk och Krim blivit måltavla för ett nytt modulärt ramverk känt som CommonMagic, som en del av en aktiv kampanj. Organisationerna som riktar sig till inkluderar de inom regerings-, jordbruks- och transportsektorerna. Dessa attacker upptäcktes av ett ryskt cybersäkerhetsföretag i oktober 2022, som har övervakat aktivitetsklustret under namnet "Bad Magic".

Man tror att attackerna började med en spjutfiskekampanj, eller liknande metoder, som använde booby-fångade webbadresser som ledde till ett skadligt ZIP-arkiv på en intrång på en webbserver. Detta arkiv innehåller ett lockbetedokument och en skadlig LNK-fil som, när den öppnas, installerar en bakdörr som heter PowerMagic.

Bakdörren är skriven i PowerShell och upprättar kontakt med en fjärrserver, vilket gör att godtyckliga kommandon kan exekveras och resultat exfiltreras till molntjänster som Dropbox och Microsoft OneDrive. PowerMagic används också för att distribuera CommonMagic-ramverket, som är en samling körbara moduler utformade för att interagera med kommando-och-kontroll-servern (C2), kryptera och dekryptera C2-trafik och köra plugins. Två plugins som hittills har upptäckts gör det möjligt att ta skärmdumpar och samla in filer av intresse från anslutna USB-enheter.

Det är värt att notera att forskarna inte har hittat några bevis som kopplar denna operation och dess verktyg till någon känd hotaktör eller grupp. Kampanjen kan ha gått obemärkt förbi i över ett och ett halvt år. Även om skadlig programvara och tekniker som används i CommonMagic-kampanjen kanske inte anses vara mycket avancerade, är användningen av molnlagring som kommando-och-kontrollinfrastruktur anmärkningsvärd. Detta belyser hur geopolitik kan påverka cyberthotslandskapet.

Sammantaget belyser denna attack behovet av ökad vaksamhet inför framväxande cyberhot, särskilt i regioner där geopolitiska spänningar kan förvärra sådana hot. Organisationer bör förbli uppmärksamma på möjligheten av spjutfiskekampanjer och liknande metoder, och vara beredda att reagera snabbt och effektivt på alla misstänkta incidenter av cyberattacker.