În octombrie 2022, cercetătorii Kaspersky au descoperit o campanie de amenințări persistente avansate (APT) care vizează organizațiile situate în zona afectată de conflictul actual dintre Rusia și Ucraina. Denumită CommonMagic, această campanie de spionaj este activă cel puțin din septembrie 2021 și folosește un malware necunoscut anterior pentru a colecta date de la țintele sale. Țintele includ organizații de administrație, agricultură și transport, toate situate în regiunile Donețk, Lugansk și Crimeea.
Atacurile sunt executate folosind un program de tip backdoor, bazat pe PowerShell, numit PowerMagic, și un nou framework rău intenționat numit CommonMagic. Acesta din urmă este capabil să fure fișiere de pe dispozitivele USB, să adune date și să le trimită atacatorului. Cu toate acestea, potențialul său nu se limitează la aceste două funcții, deoarece structura sa modulară permite introducerea de activități rău intenționate suplimentare prin noi module periculoase.
Cel mai probabil, atacurile au început cu spearphishing sau metode similare, așa cum sugerează următorii pași din lanțul de infecție. Țintele au fost conduse la o adresă URL, care, la rândul său, a condus la o arhivă ZIP găzduită pe un server rău intenționat. Arhiva conținea un fișier care instala programul de tip backdoor PowerMagic și un document tip benign decoy care avea scopul de a induce în eroare victimele, făcându-le să creadă că tot conținutul este legitim. Kaspersky a descoperit o serie de astfel de arhive cu titluri care fac referire la diferite decrete ale organizațiilor relevante pentru regiuni.
Odată ce victima descarcă arhiva și dă click pe fișierul de comandă rapidă din arhivă, dispozitivul se infectează cu programul PowerMagic. Backdoor-ul primește comenzi dintr-un folder la distanță, situat pe un domeniu public de stocare în cloud, execută comenzile trimise de pe server și apoi încarcă rezultatele execuției înapoi în cloud. De asemenea, PowerMagic se instalează în sistem pentru a fi lansat sistematic, la pornirea dispozitivului infectat.
Toate țintele PowerMagic observate de Kaspersky au fost, de asemenea, infectate cu frameworkul modular CommonMagic. Acest lucru indică faptul că, cel mai probabil, CommonMagic este implementat de PowerMagic, deși nu este clar din datele disponibile cum are loc infecția.
Cadrul CommonMagic este format din mai multe module. Fiecare modul este un fișier executabil lansat într-un proces separat, modulele putând comunica între ele.
Cadrul este capabil să fure fișiere de pe dispozitivele USB, precum și să facă capturi de ecran la fiecare trei secunde și să le trimită atacatorului.
Lanțul de infecție a cadrului CommonMagic
La momentul redactării acestui material, nu există legături directe între codul și datele utilizate în această campanie și cele cunoscute anterior. Cu toate acestea, deoarece campania este încă activă și investigația este încă în desfășurare, este posibil ca cercetările suplimentare să dezvăluie informații suplimentare care ar putea ajuta la atribuirea acestei campanii unui anumit atacator. Victimologia limitată și subiectele momelilor sugerează că atacatorii au probabil un interes specific în situația geopolitică din regiunea crizei.
„Geopolitica afectează întotdeauna peisajul amenințărilor cibernetice și duce la apariția de noi amenințări. Monitorizăm activitatea legată de conflictul dintre Rusia și Ucraina de ceva vreme, iar aceasta este una dintre ultimele noastre descoperiri. Deși malware-ul și tehnicile folosite în campania CommonMagic nu sunt deosebit de sofisticate, utilizarea sistemelor de stocare în cloud ca infrastructură de comandă și control este demnă de remarcat. Ne vom continua investigația și sperăm că vom putea împărtăși mai multe informații despre această campanie”, comentează Leonid Bezvershenko, cercetător în domeniul securității la Kaspersky Global Research and Analysis Team.