高度な監視攻撃に使用される一般的なマジックとパワーマジックマルウェア

サイバーセキュリティ企業カスペルスキーのセキュリティ研究者は、以前は見られなかった悪意のあるフレームワーク「一般的なマジック」と新しいバックドア「パワーマジック」を利用した高度な脅威アクターからの攻撃を発見しました。

この両方のマルウェアは2021年9月以降使用されており、現在も続いている攻撃は、監視目的で農業、輸送、行政部門を標的としています。

サイバーセキュリティ企業の研究者は、脅威攻撃者がクリミア、ドネツク、ルガンスクからデータを収集する傾向があると述べています。

マルウェアが被害者のネットワークに侵入すると、一般的なマジックの脅威攻撃者は、USBデバイスからDOCX、ZIP、RAR、XLS、XLSX、RTF、ODS、ODT、PDFなどのファイルや文書を盗むために個別のプラグインを使用できるようになります。

このマルウェアは、WindowsグラフィックデバイスインターフェースAPIを使用して、3秒ごとにスクリーンショットを撮ることもできます。研究者は、初期感染の方向はフィッシングまたは悪意のあるLNKファイルへのURLを配信する類似の方法であると述べています。

アーカイブ内のダミー文書（XLSX、PDF、DOCX）は、LNKファイルがPDFとして偽装されたときにバックグラウンドで開始された悪意のある活動にユーザーをリダイレクトします。

セキュリティ企業によると、LNKファイルがアクティブ化されると、研究者がマルウェアコード内で見つけた文字列にちなんで名付けられた、以前は知られていなかったPowerShellバックドアにシステムが感染します。

読む: Bitwardenパスワードマネージャーの自動入力機能がiframeベースの認証情報盗難に脆弱

バックドアはコマンドおよびC2サーバーと対話し、指示を受け取り、Microsoft OneDriveおよびDropBoxフォルダーを使用して結果をアップロードします。バックドア感染後、ターゲットは一般的なマジックに感染します。これは、研究者がこれらの操作の前に見たことのない一群の悪意のあるツールです。

悪意のある一般的なマジックには、スタンドアロンの実行可能ファイルとして始まり、名前付きパイプを使用して対話するさまざまな要素があります。

カスペルスキーのセキュリティ研究者によると、攻撃者は異なるタスクのために専用モジュールを作成しました。たとえば、C2と通信してコマンドサーバーからのトラフィックを暗号化および復号化し、文書やファイルを盗み、スクリーンショットを撮るためです。

これだけでなく、データの交換もOneDriveフォルダーを通じて行われ、ファイルはRC5Simpleというオープンソースライブラリを使用して暗号化され、暗号化の開始時にカスタムシーケンスHwo7X8pが使用されます。

そう言われると、一般的なマジックで見られる悪意のあるマルウェアや技術は難しいものではなく、革新的なものでもありません。ZIPアーカイブ内の悪意のあるLNKファイルに関する一連の感染が複数の脅威攻撃者によって観察されています。

悪意のあるLMKに依存してバッチスクリプトを実行し、ZIP呼吸器の内容を抽出して最終ペイロードを取得するChromeLoaderキャンペーンで同様の技術が観察されました。

悪意のあるCommandMagicメソッドに最も近いのは、悪意のあるLNKファイルを配信し、ZIPまたはRARアーカイブに収められたPDF文書を偽装したフィッシングメールを使用してサイバー諜報活動に従事していたYoroTrooperという攻撃者です。

非慣習的なアプローチにもかかわらず、悪意のあるマルウェアはかなり成功しています。

悪意のあるマルウェアは2021年に始まったようです。セキュリティ研究者によると、脅威アクターは昨年キャンペーンを強化し、現在も続けています。

読む: Fortinetサイバーセキュリティアップデートが失敗; ゼロデイが脅威アクターによって悪用される