新的Bad Magic APT在俄乌冲突地区使用CommonMagic框架

威胁行为者使用以前未被发现的名为CommonMagic的框架，将位于顿涅茨克、卢甘斯克和克里米亚的组织作为目标。

2022年10月，卡巴斯基研究人员发现了一场旨在感染位于顿涅茨克、卢甘斯克和克里米亚地区的政府、农业和交通组织的恶意软件活动，其中包含一个名为CommonMagic的先前未被发现的框架。

研究人员认为，威胁行为者使用鱼叉式网络钓鱼作为初始攻击媒介，这些消息包含一个URL，指向托管在攻击者控制下的 Web服务器上的ZIP存档。该存档包含两个文件，一个诱饵文档（即PDF、XLSX和DOCX 版本）和一个具有双重扩展名的恶意LNK文件（即.pdf.lnk），用于启动感染和部署PowerMagic后门。

卡巴斯基将这次攻击归因于一个在俄乌冲突地区活动的新APT组织，并被追踪为Bad magic。

专家们注意到，在此活动中观察到的TTP与任何已知活动都没有直接联系。

PowerMagic是一个PowerShell后门，它执行C2发送的任意命令，然后将数据泄露到Dropbox和Microsoft OneDrive等云服务。

“启动时，后门会创建一个互斥锁——WinEventCom。然后，它进入一个与其 C&C 服务器通信的无限循环，接收命令并上传结果作为响应。它使用OneDrive和Dropbox文件夹作为传输方式，使用OAuth刷新令牌作为凭证。”

威胁行为者可能使用PowerMagic后门来提供模块化的CommonMagic框架。

CommonMagic框架的每个模块用于执行特定任务，例如与C2服务器通信、加密和解密C2流量以及执行插件。

卡巴斯基分析了两个分别用于每三秒捕获一次屏幕截图的插件，并从连接的USB设备中收集具有以下扩展名的文件内容：“.doc、.docx。.xls、.xlsx、.rtf、.odt、.ods、.zip、.rar、.txt、.pdf”。

“到目前为止，我们没有发现该活动中使用的样本和数据与任何先前已知的参与者之间存在直接联系。” 总结报告。“然而，该活动仍在进行中，我们的调查仍在继续。因此，我们相信进一步的发现可能会揭示有关此恶意软件及其背后的威胁参与者的更多信息。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/5240.html