Häufige Magic- & Power Magic-Malware, die in fortgeschrittenen Überwachungsangriffen verwendet wird

Sicherheitsforscher der Cybersicherheitsfirma Kaspersky fanden Angriffe von fortgeschrittenen Bedrohungsakteuren, die ein zuvor unbekanntes bösartiges Framework namens Common Magic und ein neues Hintertürchen, Power Magic, verwendeten.

Nun, beide Malware wird seit mindestens September 2021 verwendet, und die Angriffe, die bis heute andauern, zielen auf die Landwirtschaft, den Transport und die Verwaltung ab, um Überwachungsmotive zu verfolgen.

Ein Forscher der Cybersicherheitsfirma erwähnt, dass die Bedrohungsangreifer geneigt sind, Daten aus der Krim, Donezk und Lugansk zu sammeln.

Wenn die Malware in das Netzwerk des Opfers eindringt, können die Common Magic-Bedrohungsangreifer nun individuelle Plugins verwenden, um Dateien und Dokumente wie – DOCX, ZIP, RAR, XLS, XLSX, RTF, ODS, ODT, PDF und mehr von den USB-Geräten zu stehlen.

Die Malware kann auch alle drei Sekunden Screenshots mithilfe der Windows Graphic Device Interface API aufnehmen. Der Forscher sagt, dass die anfängliche Infektionsrichtung Phishing oder eine ähnliche Methode ist, um eine URL zu liefern, die auf ein ZIP-Archiv mit einer bösartigen LNK-Datei verweist.

Ein Ablenkungsdokument (XLSX, PDF, DOCX) im Archiv leitet den Benutzer zu der bösartigen Aktivität, die im Hintergrund gestartet wurde, als die LNK-Datei, die sich als PDF ausgab, gestartet wurde.

Laut der Sicherheitsfirma wird die Aktivierung der LNK-Datei dazu führen, dass das System mit einer zuvor unbekannten PowerShell-Hintertür infiziert wird, die die Sicherheitsforscher Power Magic nannten, nach einer Zeichenfolge, die sie im Malware-Code fanden.

Lesen: Bitwarden Passwortmanager Autofill-Funktion anfällig für iframe-basierten Credential-Diebstahl

Die Hintertür interagiert mit dem Befehl und dem C2-Server, um Anweisungen zu erhalten und die Ergebnisse über die Microsoft OneDrive- und DropBox-Ordner hochzuladen. Nach der Hintertür-Infektion werden die Ziele dann mit Common Magic infiziert, einer Gruppe unbekannter bösartiger Werkzeuge, die die Forscher vor diesen Operationen noch nicht gesehen hatten.

Die bösartige Common Magic hat verschiedene Elemente, die als eigenständige ausführbare Dateien beginnen und ein benanntes Pipe verwenden, um zu interagieren.

Laut den Sicherheitsforschern von Kaspersky haben die Angreifer exklusive Module für verschiedene Aufgaben erstellt, beispielsweise um mit dem C2 zu kommunizieren, um den Datenverkehr vom Befehlsserver zu verschlüsseln und zu entschlüsseln, wodurch Dokumente und Dateien gestohlen und Screenshots gemacht werden.

Nicht nur das, sondern der Austausch von Daten erfolgt auch über den OneDrive-Ordner, und die Dateien werden dann mit der RC5Simple, einer Open-Source-Bibliothek mit einer benutzerdefinierten Sequenz – Hwo7X8p zu Beginn der Verschlüsselung, verschlüsselt.

Das gesagt, die bösartige Malware oder die Technik, die in der Common Magic gesehen wurde, ist nicht schwierig oder etwas Innovatives. Eine Reihe von Infektionen im Zusammenhang mit bösartigen LNK-Dateien im ZIP-Archiv wurde bei mehreren Bedrohungsangreifern beobachtet.

Eine ähnliche Technik wurde in der ChromeLoader-Kampagne beobachtet, die von einer bösartigen LMK abhängt, um ein Batch-Skript auszuführen und den Inhalt des ZIP-Respirators zu extrahieren, um die endgültige Nutzlast abzurufen.

Obwohl der nächste zur Malicious CommandMagic-Methode ein Angreifer war, der als YoroTrooper verfolgt wurde, der sich mit Cyberspionage-Aktivitäten beschäftigte, indem er Phishing-E-Mails verwendete, die bösartige LNK-Dateien lieferten und sich als PDF-Dokumente ausgaben, die in einem ZIP- oder RAR-Archiv untergebracht waren.

Trotz des unkonventionellen Ansatzes war die bösartige Malware ziemlich erfolgreich.

Obwohl die bösartige Malware anscheinend 202 begann. Laut den Sicherheitsforschern intensivierten die Bedrohungsakteure ihre Kampagnen im letzten Jahr und setzen dies weiterhin fort.

Lesen: Fortinet Cyber-Sicherheitsupdate schlägt fehl; Zero-Day von Bedrohungsakteuren ausgenutzt