PowerMagic 是針對烏克蘭的惡意軟件框架的一部分
在俄羅斯和烏克蘭之間的持續衝突中,作為積極活動的一部分,在頓涅茨克、盧甘斯克和克里米亞開展業務的幾個組織已成為名為 CommonMagic 的新模塊化框架的目標。目標組織包括政府、農業和交通部門的組織。俄羅斯一家網絡安全公司於 2022 年 10 月檢測到這些攻擊,該公司一直在監視名為“Bad Magic”的活動集群。
據信,攻擊始於魚叉式網絡釣魚活動或類似方法,這些方法採用誘殺 URL,導致位於受感染 Web 服務器上的惡意 ZIP 存檔。此存檔包含一個誘餌文檔和一個惡意 LNK 文件,打開後會安裝一個名為 PowerMagic 的後門。
後門用 PowerShell 編寫,並與遠程服務器建立聯繫,允許執行任意命令並將結果洩露到 Dropbox 和 Microsoft OneDrive 等雲服務。 PowerMagic 還用於部署 CommonMagic 框架,它是一組可執行模塊,旨在與命令和控制 (C2) 服務器交互、加密和解密 C2 流量以及執行插件。迄今為止發現的兩個插件允許捕獲屏幕截圖和從連接的 USB 設備收集感興趣的文件。
值得注意的是,研究人員沒有發現任何證據表明該行動及其工具與任何已知的威脅行為者或組織有關。這場運動可能在一年半的時間裡都沒有引起注意。雖然 CommonMagic 活動中使用的惡意軟件和技術可能不被認為是高度先進的,但使用雲存儲作為命令和控制基礎設施是值得注意的。這凸顯了地緣政治如何影響網絡威脅格局。
總的來說,這次攻擊凸顯了面對不斷變化的網絡威脅需要提高警惕,尤其是在地緣政治緊張局勢可能加劇此類威脅的地區。組織應對魚叉式網絡釣魚活動和類似方法的可能性保持警惕,並準備對任何可疑的網絡攻擊事件做出迅速有效的反應。