커먼매직

Infosec 연구원들은 우크라이나의 핵심 부문 조직에 대해 이전에 알려지지 않은 맬웨어 프레임워크를 사용하는 공격 캠페인을 식별하여 사이버 전쟁이 전쟁의 일부로 계속 진행되고 있음을 분명히 나타냅니다. 대상 조직은 정부, 농업 및 운송 부문에서 운영되며 Donetsk, Lugansk 및 Crimea 지역에 있습니다.

이러한 공격에는 이전에는 볼 수 없었던 CommonMagic이라는 새로운 모듈식 프레임워크가 포함됩니다. 이 프레임워크는 대상 조직에 침투하고 교란하여 잠재적으로 중요한 정보를 손상시키고 중요 인프라를 교란하도록 설계된 것으로 보입니다. 이러한 공격에 대한 책임이 누구인지 또는 그들의 궁극적인 목표가 무엇인지는 아직 명확하지 않습니다. 상황은 진행 중이며 영향을 받는 지역의 조직은 잠재적인 위협으로부터 네트워크와 시스템을 보호하기 위한 조치를 취해야 합니다.

CommonMagic 멀웨어를 전달하는 복잡한 공격 체인

연구원들에 따르면 정확한 초기 손상 벡터는 불분명합니다. 그러나 공격의 다음 단계에 대한 세부 정보는 위협 행위자가 스피어 피싱 또는 유사한 기술을 사용할 수 있음을 나타냅니다.

공격은 피해자에게 악성 URL을 제공하고 손상된 웹 서버에서 호스팅되는 ZIP 아카이브로 유도하는 데 사용되는 특정 패턴을 따릅니다. 전달된 ZIP 파일을 열면 유인 문서와 악성 LNK 파일이 포함되어 있습니다. 공격의 다음 단계에서는 PowerMagic이라는 백도어가 침해된 장치에 배포됩니다. 백도어는 공격자가 피해자의 컴퓨터에 액세스하고 다양한 악의적인 활동을 수행할 수 있도록 하지만 주요 목적은 훨씬 더 전문화된 악성 소프트웨어인 CommonMagic 맬웨어 프레임워크를 가져와 배포하는 것입니다.

CommonMagic - 이전에는 볼 수 없었던 위협 프레임워크

PowerMagic 맬웨어의 영향을 받은 모든 피해자는 CommonMagic이라고 하는 훨씬 더 복잡하고 정교한 악성 프레임워크에 감염된 것으로 밝혀졌습니다. CommonMagic은 다양한 실행 가능 모듈로 구성되며 모두 C:\ProgramData\CommonCommand에 있는 디렉토리에 저장됩니다. 각 모듈은 독립적인 실행 파일로 시작하고 명명된 파이프를 통해 다른 모듈과 통신합니다. 이 모듈은 명령 및 제어(C&C) 서버와의 통신, C&C 트래픽의 암호화 및 암호 해독, 여러 악의적인 작업 수행을 위해 특별히 설계되었습니다.

현재까지 발견된 모듈 중 2개는 3초 간격으로 스크린샷을 캡처하고 연결된 모든 USB 장치에서 원하는 파일을 검색하는 기능을 갖추고 있습니다. 프레임워크는 OneDrive 원격 폴더를 사용하여 데이터를 전송하고 OneDrive를 통해 공격자와 피해자 간에 교환되는 모든 데이터는 RC5Simple 오픈 소스 라이브러리를 사용하여 암호화됩니다.