Ngày 21 tháng 3 năm 2023Ravie LakshmananChiến tranh mạng / Đe dọa mạng
Trong bối cảnh cuộc chiến đang diễn ra giữa Nga và Ukraine, các tổ chức chính phủ, nông nghiệp và giao thông vận tải ở Donetsk, Lugansk và Crimea đã bị tấn công như một phần của chiến dịch tích cực nhằm loại bỏ một khuôn khổ mô-đun chưa từng thấy trước đây có tên là ma thuật chung.
Kaspersky cho biết trong một báo cáo mới: “Mặc dù phương thức thỏa hiệp ban đầu là không rõ ràng, nhưng các chi tiết của giai đoạn tiếp theo ngụ ý việc sử dụng phương pháp lừa đảo trực tuyến hoặc các phương pháp tương tự.
Công ty an ninh mạng của Nga, đã phát hiện ra các cuộc tấn công vào tháng 10 năm 2022, đang theo dõi cụm hoạt động có tên “Bad Magic”.
Các chuỗi tấn công đòi hỏi phải sử dụng các URL bị bẫy đặt vào một kho lưu trữ ZIP được lưu trữ trên một máy chủ web độc hại. Khi được mở, tệp này chứa tài liệu giải mã và tệp LNK độc hại mà đỉnh điểm là việc triển khai một cửa hậu có tên PowerMagic.
Được viết bằng PowerShell, PowerMagic thiết lập liên hệ với một máy chủ từ xa và thực thi các lệnh tùy ý, kết quả của các lệnh này được chuyển sang các dịch vụ đám mây như Dropbox và Microsoft OneDrive.
PowerMagic cũng đóng vai trò là đường dẫn để cung cấp khung CommonMagic, một tập hợp các mô-đun thực thi được thiết kế để thực hiện các tác vụ cụ thể như tương tác với máy chủ chỉ huy và kiểm soát (C2), mã hóa và giải mã lưu lượng C2 cũng như thực thi các phần bổ trợ.
Hai trong số các plugin được phát hiện cho đến nay có khả năng chụp ảnh màn hình ba giây một lần và thu thập các tệp quan tâm từ các thiết bị USB được kết nối.
Kaspersky cho biết họ không tìm thấy bằng chứng nào liên kết hoạt động và công cụ của nó với bất kỳ tác nhân hoặc nhóm đe dọa nào đã biết.
