コモンマジック

Infosec の研究者は、これまで知られていなかったマルウェア フレームワークを使用して、ウクライナの主要セクターの組織に対する攻撃キャンペーンを特定することに成功しました。これは、サイバー戦争が戦争の一部として引き続き活発に行われていることを明確に示しています。標的となった組織は、政府、農業、運輸部門で活動しており、ドネツク、ルガンスク、クリミア地域に所在しています。

これらの攻撃には、これまでに見られなかった CommonMagic と呼ばれる新しいモジュラー フレームワークが関与しています。このフレームワークは、標的の組織に侵入して混乱させるように設計されているようであり、機密情報が危険にさらされ、重要なインフラストラクチャが混乱する可能性があります。これらの攻撃の責任者や、最終的な目的が何であるかはまだ明らかではありません。状況は進行中であり、影響を受ける地域の組織は、ネットワークとシステムを潜在的な脅威から保護するための措置を講じる必要があります。

複雑な攻撃チェーンが提供する CommonMagic マルウェア

研究者によると、正確な最初の侵害ベクトルは不明です。ただし、攻撃の次の段階の詳細は、攻撃者がスピア フィッシングまたは同様の手法を使用する可能性があることを示しています。

攻撃は、悪意のある URL が被害者に提示され、侵害された Web サーバーでホストされている ZIP アーカイブに誘導するために使用される特定のパターンに従います。配信された ZIP ファイルを開くと、おとり文書と悪意のある LNK ファイルが含まれています。攻撃の次の段階では、PowerMagic という名前のバックドアが侵害されたデバイスに展開されます。バックドアにより、攻撃者は被害者のコンピューターにアクセスしてさまざまな悪意のある活動を実行できますが、その主な目的は、はるかに特殊な悪意のあるソフトウェアである CommonMagic マルウェア フレームワークを取得して展開することです。

CommonMagic - これまでにない脅威となるフレームワーク

PowerMagicマルウェアの影響を受けたすべての被害者は、CommonMagic と呼ばれる、はるかに複雑で洗練された悪意のあるフレームワークに感染していたことが判明しました。 CommonMagic はさまざまな実行可能モジュールで構成されており、そのすべてが C:\ProgramData\CommonCommand にあるディレクトリに格納されています。各モジュールは独立した実行可能ファイルとして開始され、名前付きパイプを介して他のモジュールと通信します。モジュールは、コマンド アンド コントロール (C&C) サーバーとの通信、C&C トラフィックの暗号化と復号化、およびいくつかの悪意のあるアクションの実行のために特別に設計されています。

これまでに発見されたモジュールのうち 2 つには、3 秒間隔でスクリーンショットをキャプチャし、接続されている USB デバイスから目的のファイルを取得する機能が備わっています。フレームワークは OneDrive リモート フォルダーを使用してデータを転送し、OneDrive を介して攻撃者と被害者の間で交換されるデータは、RC5Simple オープンソース ライブラリを使用して暗号化されます。