PowerMagic 是针对乌克兰的恶意软件框架的一部分

在俄罗斯和乌克兰之间的持续冲突中，作为积极活动的一部分，在顿涅茨克、卢甘斯克和克里米亚开展业务的几个组织已成为名为 CommonMagic 的新模块化框架的目标。目标组织包括政府、农业和交通部门的组织。俄罗斯一家网络安全公司于 2022 年 10 月检测到这些攻击，该公司一直在监视名为“Bad Magic”的活动集群。

据信，攻击始于鱼叉式网络钓鱼活动或类似方法，这些方法采用诱杀 URL，导致位于受感染 Web 服务器上的恶意 ZIP 存档。此存档包含一个诱饵文档和一个恶意 LNK 文件，打开后会安装一个名为 PowerMagic 的后门。

后门用 PowerShell 编写，并与远程服务器建立联系，允许执行任意命令并将结果泄露到 Dropbox 和 Microsoft OneDrive 等云服务。 PowerMagic 还用于部署 CommonMagic 框架，它是一组可执行模块，旨在与命令和控制 (C2) 服务器交互、加密和解密 C2 流量以及执行插件。迄今为止发现的两个插件允许捕获屏幕截图和从连接的 USB 设备收集感兴趣的文件。

值得注意的是，研究人员没有发现任何证据表明该行动及其工具与任何已知的威胁行为者或组织有关。这场运动可能在一年半的时间里都没有引起注意。虽然 CommonMagic 活动中使用的恶意软件和技术可能不被认为是高度先进的，但使用云存储作为命令和控制基础设施是值得注意的。这凸显了地缘政治如何影响网络威胁格局。

总的来说，这次攻击凸显了面对不断变化的网络威胁需要提高警惕，尤其是在地缘政治紧张局势可能加剧此类威胁的地区。组织应对鱼叉式网络钓鱼活动和类似方法的可能性保持警惕，并准备对任何可疑的网络攻击事件做出迅速有效的反应。