În octombrie 2022, cercetătorii Kaspersky au descoperit o campanie de amenințări persistente avansate (APT) care vizează organizațiile situate în zona afectată de conflictul actual dintre Rusia și Ucraina. Denumită CommonMagic, această campanie de spionaj este activă cel puțin din septembrie 2021 și folosește un malware necunoscut anterior pentru a colecta date de la țintele sale. Țintele includ organizații de administrație, agricultură și transport, toate situate în regiunile Donețk, Lugansk și Crimeea.
Atacurile sunt executate folosind un program de tip backdoor, bazat pe PowerShell, numit PowerMagic, și un nou framework rău intenționat numit CommonMagic. Acesta din urmă este capabil să fure fișiere de pe dispozitivele USB, să adune date și să le trimită atacatorului. Cu toate acestea, potențialul său nu se limitează la aceste două funcții, deoarece structura sa modulară permite introducerea de activități rău intenționate suplimentare prin noi module periculoase.
Cel mai probabil, atacurile au început cu spearphishing sau metode similare, așa cum sugerează următorii pași din lanțul de infecție. Țintele au fost conduse la o adresă URL, care, la rândul său, a condus la o arhivă ZIP găzduită pe un server rău intenționat. Arhiva conținea un fișier care instala programul de tip backdoor PowerMagic și un document tip benign decoy care avea scopul de a induce în eroare victimele, făcându-le să creadă că tot conținutul este legitim. Kaspersky a descoperit o serie de astfel de arhive cu titluri care fac referire la diferite decrete ale organizațiilor relevante pentru regiuni.
Document Decoy (subiect: Rezultatele alegerilor pentru Duma de Stat din Republica Crimeea)
Odată ce victima descarcă arhiva și dă click pe fișierul de comandă rapidă din arhivă, dispozitivul se infectează cu programul PowerMagic. Backdoor-ul primește comenzi dintr-un folder la distanță, situat pe un domeniu public de stocare în cloud, execută comenzile trimise de pe server și apoi încarcă rezultatele execuției înapoi în cloud. De asemenea, PowerMagic se instalează în sistem pentru a fi lansat sistematic, la pornirea dispozitivului infectat.
Toate țintele PowerMagic observate de Kaspersky au fost, de asemenea, infectate cu frameworkul modular CommonMagic. Acest lucru indică faptul că, cel mai probabil, CommonMagic este implementat de PowerMagic, deși nu este clar din datele disponibile cum are loc infecția.
Cadrul CommonMagic este format din mai multe module. Fiecare modul este un fișier executabil lansat într-un proces separat, modulele putând comunica între ele.
Cadrul este capabil să fure fișiere de pe dispozitivele USB, precum și să facă capturi de ecran la fiecare trei secunde și să le trimită atacatorului.
Lanțul de infecție a cadrului CommonMagic
La momentul redactării acestui material, nu există legături directe între codul și datele utilizate în această campanie și cele cunoscute anterior. Cu toate acestea, deoarece campania este încă activă și investigația este încă în desfășurare, este posibil ca cercetările suplimentare să dezvăluie informații suplimentare care ar putea ajuta la atribuirea acestei campanii unui anumit atacator. Victimologia limitată și subiectele momelilor sugerează că atacatorii au probabil un interes specific în situația geopolitică din regiunea crizei.
„Geopolitica afectează întotdeauna peisajul amenințărilor cibernetice și duce la apariția de noi amenințări. Monitorizăm activitatea legată de conflictul dintre Rusia și Ucraina de ceva vreme, iar aceasta este una dintre ultimele noastre descoperiri. Deși malware-ul și tehnicile folosite în campania CommonMagic nu sunt deosebit de sofisticate, utilizarea sistemelor de stocare în cloud ca infrastructură de comandă și control este demnă de remarcat. Ne vom continua investigația și sperăm că vom putea împărtăși mai multe informații despre această campanie”, comentează Leonid Bezvershenko, cercetător în domeniul securității la Kaspersky Global Research and Analysis Team.
Citiți raportul complet despre campania CommonMagic pe Securelist.
Pentru a evita atacurile țintite din partea unui atacator cibernetic cunoscut sau necunoscut, cercetătorii Kaspersky recomandă implementarea următoarelor măsuri:
- Oferiți echipei SOC acces la cele mai recente informații despre amenințări (TI). Portalul Kaspersky Threat Intelligence este punctul de acces pentru datele TI generate de companie, oferind informații privind atacurile cibernetice adunate de Kaspersky pe o perioadă de peste 20 de ani.
- Ajutați-vă echipa de securitate cibernetică să-și formeze abilități în acest domeniu, pentru a aborda cele mai recente amenințări vizate, cu ajutorul cursurilor online Kaspersky, dezvoltate de experții GReAT
- Pentru detectarea, investigarea și remedierea la timp util a incidentelor, la nivelul endpoint, implementați soluții EDR, precum Kaspersky Endpoint Detection and Response
- Pe lângă adoptarea protecției esențiale la nivel endpoint, implementați o soluție de securitate la nivel corporativ care detectează amenințările avansate din rețea într-un stadiu incipient, precum Kaspersky Anti Targeted Attack Platform
- Deoarece multe atacuri direcționate încep cu o campanie de phishing sau alte tehnici de inginerie socială, introduceți cursuri pentru îmbunătățirea nivelului de conștientizare a securității cibernetice prin dobândirea unor abilități practice – de exemplu, prin platforma Kaspersky Automated Security Awareness
