CommonMagic 用于攻击乌克兰

在俄罗斯和乌克兰之间的持续冲突期间，位于顿涅茨克、卢甘斯克和克里米亚的各种政府、农业和运输组织已成为一个名为 CommonMagic 的新模块化框架的目标，作为一项积极活动的一部分。

一家俄罗斯网络安全公司在 2022 年 10 月检测到这些攻击，正在监视名为“Bad Magic”的活动集群。这些攻击被认为是从鱼叉式网络钓鱼活动或类似方法开始的，这些方法使用诱杀的 URL 导致受感染的 Web 服务器上的恶意 ZIP 存档。该档案包含一个诱饵文档和一个恶意 LNK 文件，该文件在打开时会安装一个名为 PowerMagic 的后门。

这个后门是用 PowerShell 编写的，它与远程服务器建立联系，执行任意命令并将结果泄露到 Dropbox 和 Microsoft OneDrive 等云服务。 PowerMagic 还用于部署 CommonMagic 框架，这是一组可执行模块，旨在与命令和控制 (C2) 服务器交互、加密和解密 C2 流量以及执行插件。目前发现的两个插件允许从连接的 USB 设备捕获屏幕截图和收集感兴趣的文件。研究人员没有发现任何证据表明该行动及其工具与任何已知的威胁行为者或团体有关，并且该活动可能已经被忽视了一年半以上。

一位研究人员指出，虽然 CommonMagic 活动中使用的恶意软件和技术称不上非常先进，但使用云存储作为命令和控制基础设施是值得注意的，并凸显了地缘政治如何影响网络威胁格局。

Bad Magic 等恶意软件如何利用云服务造成危害？

像 Bad Magic 这样的恶意软件可以使用云服务来造成伤害，方法是将它们用作与其运营商通信的命令和控制 (C2) 基础设施。在 Bad Magic 的案例中，名为 PowerMagic 的后门与远程服务器建立联系，并将其执行的任意命令的结果泄露到 Dropbox 和 Microsoft OneDrive 等云服务。 PowerMagic还用于部署CommonMagic框架，执行与C2服务器交互、加解密C2流量、执行插件等具体任务。

将云存储用于 C2 基础设施会使安全团队更难以检测和阻止恶意软件的通信，因为流量看起来像是合法的云存储活动。此外，攻击者可以利用云服务的可扩展性和灵活性来存储和分发恶意文件，使他们更容易逃避检测并保持持久性。总体而言，Bad Magic 等恶意软件对云服务的使用凸显了为云环境实施强大的安全措施和监控技术的重要性。