APT组织使用新的恶意软件收集俄乌冲突地区情报

　　卡巴斯基安全研究人员发现专业APT组织使用了名为 CommonMagic 的“恶意框架”和名为 PowerMagic 的新后门。

　　这两种恶意软件至少从 2021 年 9 月开始就一直在持续至今的行动中使用，并以行政、农业和交通部门为目标进行间谍活动。

　　卡巴斯基研究人员表示，黑客的兴趣点是从顿涅茨克、卢甘斯克和克里米亚的受害者那里收集情报。

　　一旦进入目标网络，CommonMagic 间谍活动背后的攻击者就使用单独的插件从 USB 设备窃取文档和文件（DOC、DOCX、XLS、XLSX、RTF、ODT、ODS、ZIP、RAR、TXT、PDF）。

　　使用的恶意软件还可以使用Windows 图形设备接口(GDI) API每三秒截取一次屏幕截图。

　　研究人员认为，最初的感染媒介是鱼叉式网络钓鱼或类似的方法，用于传送指向带有恶意 LNK 文件的 ZIP 存档的 URL。

　　存档中的诱饵文档（PDF、XLSX、DOCX）将目标用户从伪装成 PDF 的 LNK 文件启动时在后台启动的恶意活动中转移。

　　

　　CommonMagic 活动中提供的恶意 ZIP，来源：卡巴斯基

　　卡巴斯基表示，激活恶意 LNK 会导致系统感染以前未知的基于 PowerShell 的后门，研究人员在恶意代码中的一个字符串后将其命名为 PowerMagic。

　　后门与命令和控制 (C2) 服务器通信以接收指令并使用 OneDrive 和 Dropbox 文件夹上传结果。

　　在 PowerMagic 感染之后，目标继续感染 CommonMagic，这是一组研究人员在本次攻击之前从未见过的恶意工具。

　　

　　CommonMagic感染链，来源：卡巴斯基

　　CommonMagic 框架有几个模块，它们以独立的可执行文件开始，并使用命名管道进行通信。

　　卡巴斯基的分析显示，黑客为各种任务创建了专用模块，从与 C2 交互到加密和解密来自目标系统流量、窃取文件和截屏。

　　

　　模块化CommonMagic框架的架构，来源：卡巴斯基

　　与 C2 交换数据也是通过 OneDrive 文件夹完成的，文件在加密开始时使用RC5Simple 开源库和自定义序列 Hwo7X8p进行加密。

　　CommonMagic 攻击中看到的恶意软件或方法并不复杂或创新。已观察到涉及多个攻击者的 ZIP 存档文件中涉及恶意 LNK 文件的感染链。

　　事件响应公司 Security Joes 上个月宣布发现了一个 名为 IceBreaker 的新后门 ，它是从 ZIP 存档文件中传递恶意 LNK 文件。

　　在ChromeLoader 活动中发现了一种类似的方法 ，该活动依赖于恶意 LNK 文件来执行批处理脚本并提取 ZIP 存档文件的内容以投放最终攻击负载。

　　最接近 CommonMagic 技术的是一个被思科 Talos 追踪为 YoroTrooper的攻击者，他使用网络钓鱼电子邮件从事网络间谍活动，发送恶意 LNK 文件和包含在 ZIP 或 RAR 存档中的诱饵 PDF 文档。

　　卡巴斯基说，尽管采用了非常规的方法，但 CommonMagic 的方法被证明是成功的。研究人员在去年 10 月发现了一种活跃的感染，该组织最早发起的几次攻击是在 2021 年 9 月。

　　卡巴斯基全球研究与分析团队的安全研究员 Leonid Besverzhenko 称，PowerMagic 后门和 CommonMagic 框架被用于数十次攻击。尽管 CommonMagic 活动似乎是在 2021 年开始的，Besverzhenko 表示，对手去年加强了他们的活动，并且活跃至今。

　　卡巴斯基研究人员表示，“有限的受害者研究和以俄乌冲突为主题的诱饵表明，攻击者可能对该地区的地缘政治局势特别感兴趣。”

　　参考链接：https://www.bleepingcomputer.com/news/security/hackers-use-new-powermagic-and-commonmagic-malware-to-steal-data/

　　举报/反馈