Sicherheitsforscher haben Angriffe von einem fortgeschrittenen Bedrohungsakteur entdeckt, der „ein bisher unbekanntes bösartiges Framework“ namens CommonMagic und eine neue Hintertür namens PowerMagic verwendet.
Beide Malware-Teile werden seit mindestens September 2021 in Operationen eingesetzt, die bis heute andauern und Organisationen in den Bereichen Verwaltung, Landwirtschaft und Transport zu Spionagezwecken angreifen.
Neues bösartiges Toolkit veröffentlicht
Forscher des Cybersicherheitsunternehmens Kaspersky sagen, dass die Hacker daran interessiert sind, Daten von Opfern in Donezk, Lugansk und der Krim zu sammeln.
Sobald sie sich im Netzwerk des Opfers befinden, können die Angreifer hinter der CommonMagic-Spionagekampagne separate Plugins verwenden, um Dokumente und Dateien (DOC, DOCX, XLS, XLSX, RTF, ODT, ODS, ZIP, RAR, TXT, PDF) von USB-Geräten zu stehlen.
Die eingesetzte Malware kann mit dem auch alle drei Sekunden Screenshots machen Windows-Grafikgeräteschnittstelle (GDI)-API.
Die Forscher glauben, dass der anfängliche Infektionsvektor Spear-Phishing oder eine ähnliche Methode ist, um eine URL zu übermitteln, die auf ein ZIP-Archiv mit einer bösartigen LNK-Datei verweist.
Ein Lockdokument (PDF, XLSX, DOCX) im Archiv lenkte den Zielbenutzer von der böswilligen Aktivität ab, die im Hintergrund begann, als die als PDF getarnte LNK-Datei gestartet wurde.
Quelle: Kaspersky
Kaspersky sagt, dass die Aktivierung des bösartigen LNK dazu führen würde, das System mit einer zuvor unbekannten PowerShell-basierten Hintertür zu infizieren, die der Forscher nach einer Zeichenfolge im Malware-Code PowerMagic nannte.
Die Hintertür kommuniziert mit dem Command-and-Control-Server (C2), um Anweisungen zu erhalten und die Ergebnisse mithilfe von OneDrive- und Dropbox-Ordnern hochzuladen.
Nach der PowerMagic-Infektion wurden die Ziele mit CommonMagic infiziert, einer Sammlung bösartiger Tools, die die Forscher vor diesen Angriffen nicht gesehen haben.
Quelle: Kaspersky
Das CommonMagic-Framework verfügt über mehrere Module, die als eigenständige ausführbare Dateien beginnen und benannte Pipes zur Kommunikation verwenden.
Kasperskys Analyse ergab dass die Hacker dedizierte Module für verschiedene Aufgaben erstellt haben, von der Interaktion mit dem C2 über das Verschlüsseln und Entschlüsseln des Datenverkehrs vom Befehlsserver bis hin zum Stehlen von Dokumenten und Erstellen von Screenshots.
Quelle: Kaspersky
Der Datenaustausch mit dem C2 erfolgt ebenfalls über einen OneDrive-Ordner und die Dateien werden mit dem verschlüsselt RC5Einfach Open-Source-Bibliothek mit angepasster Sequenz – Hwo7X8p – zu Beginn der Verschlüsselung.
Sich hinter gewöhnlichen Taktiken verstecken
Die Malware oder die Methoden, die bei CommonMagic-Angriffen zu sehen sind, sind nicht komplex oder innovativ. Bei mehreren Angreifern wurde eine Infektionskette mit bösartigen LNK-Dateien in ZIP-Archiven beobachtet.
Das Incident-Response-Unternehmen Security Joes gab letzten Monat die Entdeckung einer neuen Hintertür namens IceBreaker bekannt, die von einem böswilligen LNK in einem ZIP-Archiv bereitgestellt wurde.
Eine ähnliche Methode wurde in einer ChromeLoader-Kampagne beobachtet, die sich auf einen böswilligen LNK stützte, um ein Batch-Skript auszuführen und den Inhalt eines ZIP-Containers zu extrahieren, um die endgültige Nutzlast abzurufen.
Am nächsten an der Technik von CommonMagic ist jedoch ein Bedrohungsakteur, den Cisco Talos als YoroTrooper verfolgt, der an Cyberspionage-Aktivitäten beteiligt war, indem er Phishing-E-Mails verwendete, die schädliche LNK-Dateien und gefälschte PDF-Dokumente lieferten, die in einem ZIP- oder RAR-Archiv eingeschlossen waren.
Trotz der ungewöhnlichen Herangehensweise habe sich die Methode von CommonMagic als erfolgreich erwiesen, so Kaspersky.
Die Forscher entdeckten im Oktober letzten Jahres eine aktive Infektion, verfolgten jedoch einige Angriffe dieses Bedrohungsakteurs bis in den September 2021 zurück.
Leonid Besverzhenko, Sicherheitsforscher im Global Research and Analysis Team von Kaspersky, sagte gegenüber BleepingComputer, dass die PowerMagic-Hintertür und das CommonMagic-Framework bei Dutzenden von Angriffen verwendet wurden.
Obwohl die Aktivitäten von CommonMagic im Jahr 2021 begonnen zu haben scheinen, sagt Besverzhenko, dass der Gegner seine Bemühungen im vergangenen Jahr intensiviert hat und auch heute noch aktiv ist.
Durch die Kombination von einfachen Techniken, die von mehreren Akteuren verwendet wurden, und ursprünglichem Schadcode gelang es den Hackern, eine Verbindung zu anderen Kampagnen zu diesem Zeitpunkt unmöglich zu machen.
Ein Sprecher von Kaspersky sagte gegenüber BleepingComputer, dass „die begrenzte Viktimologie und die russisch-ukrainischen Konfliktthemen darauf hindeuten, dass die Angreifer wahrscheinlich ein besonderes Interesse an der geopolitischen Situation in dieser Region haben“.
