Un logiciel malveillant jusque-là inconnu dans une campagne APT vole des données à des entreprises administratives, agricoles et de transport dans les régions de Donetsk, Louhansk et Crimée. La nouvelle porte dérobée PowerMagic et le framework modulaire CommonMagic sont utilisés.
En octobre 2022, les chercheurs de Kaspersky ont découvert une campagne en cours de menace persistante avancée (APT) ciblant des organisations dans la zone de guerre russo-ukrainienne. Surnommée «CommonMagic» par Kaspersky, la campagne d'espionnage est active depuis au moins septembre 2021 et utilise un logiciel malveillant jusqu'alors inconnu pour collecter des données auprès de ses cibles. Les cibles comprennent les entreprises administratives, agricoles et de transport des régions de Donetsk, Lougansk et de Crimée.
Attaques PowerMagic de porte dérobée
Les attaques APT sont exécutées à l'aide d'une porte dérobée basée sur PowerShell appelée "PowerMagic" et du nouveau framework malveillant "CommonMagic". Ce dernier permet de voler des fichiers à partir de périphériques USB, de collecter des données et de les transmettre à l'attaquant. De plus, la structure modulaire du framework permet d'ajouter des activités malveillantes via de nouveaux modules malveillants.
L'attaque a probablement été initialement menée à l'aide de harponnage ou de méthodes similaires. Les individus ciblés étaient dirigés vers une URL, qui à son tour conduisait à une archive ZIP hébergée sur un serveur malveillant. Cette archive contenait à la fois un fichier malveillant qui fournissait la porte dérobée PowerMagic et un document trompeur inoffensif conçu pour tromper les personnes concernées en leur faisant croire que le contenu était légitime. Les experts de Kaspersky ont découvert un certain nombre de ces archives leurres avec des titres faisant référence à divers décrets d'organisations pertinentes dans la région.
Actions initiées par le spear phishing
Une fois qu'un utilisateur télécharge l'archive et clique sur le fichier de lien dans l'archive, il est infecté par la porte dérobée PowerMagic. La porte dérobée reçoit des commandes d'un dossier distant sur un service de stockage cloud public, exécute les commandes envoyées depuis le serveur, puis télécharge les résultats d'exécution vers le cloud. De plus, PowerMagic s'intègre dans le système de telle manière qu'il est lancé à chaque démarrage de l'appareil infecté.
À l'heure actuelle, aucune corrélation directe ne peut être établie entre le code utilisé dans cette campagne et les données de cas déjà connus. Cependant, la campagne est toujours active et l'analyse est en cours. Compte tenu de la victimologie limitée et des leurres thématiques, il est plausible que les assaillants aient un intérêt particulier pour la situation géopolitique dans la région du conflit.
Plus sur Kaspersky.com
À propos de Kaspersky Kaspersky est une société internationale de cybersécurité fondée en 1997. L'expertise approfondie de Kaspersky en matière de renseignements sur les menaces et de sécurité sert de base à des solutions et des services de sécurité innovants pour protéger les entreprises, les infrastructures critiques, les gouvernements et les consommateurs du monde entier. Le portefeuille de sécurité complet de la société comprend une protection des terminaux de pointe et une gamme de solutions et de services de sécurité spécialisés pour se défendre contre les cybermenaces complexes et évolutives. Plus de 400 millions d'utilisateurs et 250.000 XNUMX entreprises clientes sont protégées par les technologies Kaspersky. Plus d'informations sur Kaspersky sur www.kaspersky.com/