CommonMagic

Les chercheurs d'Infosec ont réussi à identifier une campagne d'attaque utilisant un cadre de logiciels malveillants jusqu'alors inconnu contre des organisations de secteurs clés en Ukraine, indiquant clairement le rôle actif que la cyberguerre continue de jouer dans le cadre de la guerre. Les organisations ciblées opèrent dans les secteurs du gouvernement, de l'agriculture et des transports et sont situées dans les régions de Donetsk, Lougansk et Crimée.

Ces attaques impliquent un nouveau cadre modulaire appelé CommonMagic, qui n'a jamais été vu auparavant. Le cadre semble être conçu pour infiltrer et perturber les organisations ciblées, compromettant potentiellement les informations sensibles et perturbant les infrastructures critiques. On ne sait pas encore qui est responsable de ces attaques ou quels peuvent être leurs objectifs ultimes. La situation est permanente et les organisations des zones touchées doivent prendre des mesures pour sécuriser leurs réseaux et systèmes contre les menaces potentielles.

Une chaîne d'attaque complexe délivre le logiciel malveillant CommonMagic

Selon les chercheurs, le vecteur de compromis initial exact n'est pas clair. Cependant, les détails de la prochaine étape de l'attaque indiquent que le harponnage ou des techniques similaires peuvent être utilisés par les acteurs de la menace.

Les attaques suivent un modèle spécifique où une URL malveillante est présentée aux victimes et est utilisée pour les diriger vers une archive ZIP hébergée sur un serveur Web compromis. Lorsque le fichier ZIP livré est ouvert, il contient un document leurre et un fichier LNK malveillant. Dans la phase suivante de l'attaque, une porte dérobée nommée PowerMagic est déployée sur les appareils piratés. La porte dérobée permet à l'attaquant d'accéder à l'ordinateur de la victime et d'effectuer diverses activités malveillantes, mais son objectif principal est de récupérer et de déployer le framework de logiciels malveillants CommonMagic, un logiciel malveillant beaucoup plus spécialisé.

CommonMagic - Un cadre de menace inédit

Il a été découvert que toutes les victimes touchées par les logiciels malveillants PowerMagic avaient été infectées par un cadre malveillant beaucoup plus complexe et sophistiqué, qui a été surnommé CommonMagic. CommonMagic comprend divers modules exécutables, qui sont tous stockés dans un répertoire situé à C:\ProgramData\CommonCommand. Chaque module démarre en tant que fichier exécutable indépendant et communique avec les autres via des canaux nommés. Les modules sont spécialement conçus pour communiquer avec le serveur de commande et de contrôle (C&C), chiffrer et déchiffrer le trafic C&C et effectuer plusieurs actions malveillantes.

Deux des modules découverts à ce jour sont équipés de la capacité de capturer des captures d'écran à des intervalles de trois secondes et de récupérer des fichiers d'intérêt à partir de tout périphérique USB connecté. Le framework utilise des dossiers distants OneDrive pour transporter des données, et toutes les données échangées entre l'attaquant et la victime via OneDrive sont cryptées à l'aide de la bibliothèque open source RC5Simple.