Un malware precedentemente sconosciuto in una campagna APT ruba dati da società amministrative, agricole e di trasporto nelle regioni di Donetsk, Luhansk e Crimea. Vengono utilizzati il nuovo backdoor PowerMagic e il framework modulare CommonMagic.
Nell'ottobre 2022, i ricercatori di Kaspersky hanno scoperto una campagna APT (Advanced Persistent Threat) in corso che prende di mira le organizzazioni nella zona di guerra russo-ucraina. Soprannominata "CommonMagic" da Kaspersky, la campagna di spionaggio è attiva almeno da settembre 2021 e utilizza un malware precedentemente sconosciuto per raccogliere dati dai suoi obiettivi. Gli obiettivi includono società amministrative, agricole e di trasporto nelle regioni di Donetsk, Luhansk e Crimea.
Attacchi Backdoor PowerMagic
Gli attacchi APT vengono eseguiti utilizzando una backdoor basata su PowerShell chiamata "PowerMagic" e il nuovo framework dannoso "CommonMagic". Quest'ultimo consente di rubare file da dispositivi USB, raccogliere dati e inoltrarli all'aggressore. Inoltre, la struttura modulare del framework consente di aggiungere attività dannose tramite nuovi moduli dannosi.
L'attacco è stato probabilmente inizialmente effettuato utilizzando metodi di spear phishing o simili. Le persone prese di mira sono state indirizzate a un URL, che a sua volta ha portato a un archivio ZIP ospitato su un server dannoso. Questo archivio conteneva sia un file dannoso che forniva la backdoor di PowerMagic sia un innocuo documento ingannevole progettato per indurre le persone colpite a credere che il contenuto fosse legittimo. Gli esperti di Kaspersky hanno scoperto una serie di tali archivi esca con titoli che fanno riferimento a vari decreti di organizzazioni rilevanti nella regione.
Azioni avviate da spear phishing
Una volta che un utente scarica l'archivio e fa clic sul file di collegamento nell'archivio, viene infettato dalla backdoor di PowerMagic. La backdoor riceve i comandi da una cartella remota su un servizio di archiviazione cloud pubblico, esegue i comandi inviati dal server e quindi carica i risultati dell'esecuzione nel cloud. Inoltre, PowerMagic si integra nel sistema in modo tale da essere avviato ogni volta che si avvia il dispositivo infetto.
Al momento, non è possibile stabilire una correlazione diretta tra il codice utilizzato in questa campagna e i dati di casi precedentemente noti. Tuttavia, la campagna è ancora attiva e l'analisi è in corso. Data la vittimologia limitata e le esche tematiche, è plausibile che gli aggressori abbiano un particolare interesse per la situazione geopolitica nella regione del conflitto.
Altro su Kaspersky.com
A proposito di Kaspersky Kaspersky è una società internazionale di sicurezza informatica fondata nel 1997. La profonda competenza in materia di sicurezza e intelligence sulle minacce di Kaspersky funge da base per soluzioni e servizi di sicurezza innovativi per proteggere aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. L'ampio portafoglio di sicurezza dell'azienda comprende la protezione degli endpoint leader e una gamma di soluzioni e servizi di sicurezza specializzati per difendersi da minacce informatiche complesse e in continua evoluzione. Oltre 400 milioni di utenti e 250.000 clienti aziendali sono protetti dalle tecnologie Kaspersky. Maggiori informazioni su Kaspersky su www.kaspersky.com/