CommonMagic 用於攻擊烏克蘭
在俄羅斯和烏克蘭之間的持續衝突期間,位於頓涅茨克、盧甘斯克和克里米亞的各種政府、農業和運輸組織已成為一個名為 CommonMagic 的新模塊化框架的目標,作為一項積極活動的一部分。
一家俄羅斯網絡安全公司在 2022 年 10 月檢測到這些攻擊,正在監視名為“Bad Magic”的活動集群。這些攻擊被認為是從魚叉式網絡釣魚活動或類似方法開始的,這些方法使用誘殺的 URL 導致受感染的 Web 服務器上的惡意 ZIP 存檔。該檔案包含一個誘餌文檔和一個惡意 LNK 文件,該文件在打開時會安裝一個名為 PowerMagic 的後門。
這個後門是用 PowerShell 編寫的,它與遠程服務器建立聯繫,執行任意命令並將結果洩露到 Dropbox 和 Microsoft OneDrive 等雲服務。 PowerMagic 還用於部署 CommonMagic 框架,這是一組可執行模塊,旨在與命令和控制 (C2) 服務器交互、加密和解密 C2 流量以及執行插件。目前發現的兩個插件允許從連接的 USB 設備捕獲屏幕截圖和收集感興趣的文件。研究人員沒有發現任何證據表明該行動及其工具與任何已知的威脅行為者或團體有關,並且該活動可能已經被忽視了一年半以上。
一位研究人員指出,雖然 CommonMagic 活動中使用的惡意軟件和技術稱不上非常先進,但使用雲存儲作為命令和控制基礎設施是值得注意的,並凸顯了地緣政治如何影響網絡威脅格局。
Bad Magic 等惡意軟件如何利用雲服務造成危害?
像 Bad Magic 這樣的惡意軟件可以使用雲服務來造成傷害,方法是將它們用作與其運營商通信的命令和控制 (C2) 基礎設施。在 Bad Magic 的案例中,名為 PowerMagic 的後門與遠程服務器建立聯繫,並將其執行的任意命令的結果洩露到 Dropbox 和 Microsoft OneDrive 等雲服務。 PowerMagic還用於部署CommonMagic框架,執行與C2服務器交互、加解密C2流量、執行插件等具體任務。
將雲存儲用於 C2 基礎設施會使安全團隊更難以檢測和阻止惡意軟件的通信,因為流量看起來像是合法的雲存儲活動。此外,攻擊者可以利用雲服務的可擴展性和靈活性來存儲和分發惡意文件,使他們更容易逃避檢測並保持持久性。總體而言,Bad Magic 等惡意軟件對雲服務的使用凸顯了為雲環境實施強大的安全措施和監控技術的重要性。