Gemeinsame Magie

Den Forschern von Infosec ist es gelungen, eine Angriffskampagne mit einem bisher unbekannten Malware-Framework gegen Organisationen aus Schlüsselsektoren in der Ukraine zu identifizieren, was deutlich auf die aktive Rolle hinweist, die Cyberwar weiterhin als Teil des Krieges spielt. Die Zielorganisationen sind im Regierungs-, Landwirtschafts- und Verkehrssektor tätig und befinden sich in den Regionen Donezk, Lugansk und Krim.

Diese Angriffe beinhalten ein neues modulares Framework namens CommonMagic, das noch nie zuvor gesehen wurde. Das Framework scheint darauf ausgelegt zu sein, die Zielorganisationen zu infiltrieren und zu stören, wodurch möglicherweise sensible Informationen kompromittiert und kritische Infrastrukturen gestört werden. Es ist noch nicht klar, wer für diese Angriffe verantwortlich ist oder was ihre letztendlichen Ziele sein könnten. Die Situation hält an und Organisationen in den betroffenen Gebieten sollten Maßnahmen ergreifen, um ihre Netzwerke und Systeme vor potenziellen Bedrohungen zu schützen.

Eine komplexe Angriffskette liefert die CommonMagic-Malware

Den Forschern zufolge ist der genaue anfängliche Kompromittierungsvektor unklar. Die Details der nächsten Phase des Angriffs deuten jedoch darauf hin, dass Spear-Phishing oder ähnliche Techniken von den Angreifern verwendet werden könnten.

Die Angriffe folgen einem bestimmten Muster, bei dem den Opfern eine bösartige URL präsentiert wird, die verwendet wird, um sie zu einem ZIP-Archiv zu führen, das auf einem kompromittierten Webserver gehostet wird. Beim Öffnen der mitgelieferten ZIP-Datei enthält diese ein Lockdokument und eine bösartige LNK-Datei. In der nächsten Phase des Angriffs wird eine Backdoor namens PowerMagic auf den angegriffenen Geräten installiert. Die Hintertür ermöglicht es dem Angreifer, auf den Computer des Opfers zuzugreifen und verschiedene böswillige Aktivitäten auszuführen, aber ihr Hauptzweck besteht darin, das Malware-Framework CommonMagic, eine weitaus spezialisiertere bösartige Software, abzurufen und einzusetzen.

CommonMagic – Ein bisher unbekanntes Bedrohungs-Framework

Es wurde festgestellt, dass alle von PowerMagic- Malware betroffenen Opfer mit einem viel komplizierteren und ausgeklügelteren bösartigen Framework infiziert waren, das als CommonMagic bezeichnet wurde. CommonMagic umfasst verschiedene ausführbare Module, die alle in einem Verzeichnis unter C:\ProgramData\CommonCommand gespeichert sind. Jedes Modul wird als unabhängige ausführbare Datei initiiert und kommuniziert mit den anderen über Named Pipes. Die Module sind speziell für die Kommunikation mit dem Command and Control (C&C)-Server, die Verschlüsselung und Entschlüsselung des C&C-Verkehrs und die Durchführung verschiedener böswilliger Aktionen konzipiert.

Zwei der bisher entdeckten Module sind mit der Fähigkeit ausgestattet, Screenshots im Drei-Sekunden-Intervall aufzunehmen und interessante Dateien von allen angeschlossenen USB-Geräten abzurufen. Das Framework verwendet OneDrive-Remote-Ordner zum Transportieren von Daten, und alle Daten, die zwischen dem Angreifer und dem Opfer über OneDrive ausgetauscht werden, werden mit der Open-Source-Bibliothek RC5Simple verschlüsselt.