APT キャンペーンにおける未知のマルウェアが、ドネツク、ルハンスク、クリミア地域の管理、農業、輸送会社からデータを盗みます。 新しいバックドア PowerMagic とモジュラー フレームワーク CommonMagic が使用されます。
2022 年 2021 月、Kaspersky の研究者は、ロシアとウクライナの紛争地帯にある組織を標的とする進行中の Advanced Persistent Threat (APT) キャンペーンを発見しました。 Kaspersky によって「CommonMagic」と呼ばれるこのスパイ活動は、少なくとも XNUMX 年 XNUMX 月から活動しており、未知のマルウェアを使用して標的からデータを収集しています。 標的には、ドネツク、ルハーンシク、クリミア地域の行政、農業、輸送会社が含まれます。
バックドア PowerMagic 攻撃
APT 攻撃は、「PowerMagic」と呼ばれる PowerShell ベースのバックドアと、新しい悪意のあるフレームワーク「CommonMagic」を使用して実行されます。 後者は、USB デバイスからファイルを盗み出し、データを収集して攻撃者に転送することを可能にします。 さらに、フレームワークのモジュール構造により、新しい悪意のあるモジュールを介して悪意のあるアクティビティを追加できます。
攻撃は当初、スピア フィッシングまたは同様の方法を使用して実行された可能性があります。 標的となった個人は URL に誘導され、悪意のあるサーバーでホストされている ZIP アーカイブに誘導されました。 このアーカイブには、PowerMagic バックドアを提供する悪意のあるファイルと、被害者をだましてコンテンツが正当であると信じ込ませるように設計された無害な欺瞞的なドキュメントの両方が含まれていました。 Kaspersky の専門家は、この地域に関連する組織のさまざまな命令に言及するタイトルが付いた、そのようなおとりアーカイブを多数発見しました。
スピアフィッシングが開始したアクション
ユーザーがアーカイブをダウンロードしてアーカイブ内のリンク ファイルをクリックすると、PowerMagic バックドアに感染します。 バックドアは、パブリック クラウド ストレージ サービス上のリモート フォルダーからコマンドを受信し、サーバーから送信されたコマンドを実行し、実行結果をクラウドにアップロードします。 さらに、PowerMagic は、感染したデバイスが起動するたびに起動されるようにシステムに埋め込まれます。
現時点では、このキャンペーンで使用されたコードと既知のケースのデータとの間に直接的な相関関係を確立することはできません。 ただし、キャンペーンはまだアクティブであり、分析が進行中です。 限られた犠牲者とテーマ別のルアーを考えると、攻撃者が紛争地域の地政学的状況に特別な関心を持っていると考えられます。
詳細は Kaspersky.com をご覧ください
カスペルスキーについて Kaspersky は、1997 年に設立された国際的なサイバーセキュリティ企業です。 Kaspersky の脅威インテリジェンスとセキュリティに関する深い専門知識は、革新的なセキュリティ ソリューションとサービスの基盤として機能し、世界中の企業、重要なインフラストラクチャ、政府、および消費者を保護します。 同社の包括的なセキュリティ ポートフォリオには、最先端のエンドポイント プロテクションと、複雑で進化するサイバー脅威から防御するためのさまざまな専門的なセキュリティ ソリューションとサービスが含まれています。 400 億を超えるユーザーと 250.000 の法人顧客がカスペルスキーのテクノロジーによって保護されています。 カスペルスキーの詳細については、www.kaspersky.com/ をご覧ください。