普通魔法

Infosec 研究人员已经成功地识别出使用以前未知的恶意软件框架针对乌克兰关键部门组织的攻击活动，这清楚地表明网络战作为战争的一部分继续发挥着积极作用。目标组织在政府、农业和交通部门开展业务，位于顿涅茨克、卢甘斯克和克里米亚地区。

这些攻击涉及一个名为 CommonMagic 的新模块化框架，这是以前从未见过的。该框架似乎旨在渗透和破坏目标组织，可能会危及敏感信息并破坏关键基础设施。目前尚不清楚谁应对这些攻击负责，也不清楚他们的最终目标是什么。这种情况仍在持续，受影响地区的组织应采取措施保护其网络和系统免受潜在威胁。

复杂的攻击链提供 CommonMagic 恶意软件

据研究人员称，确切的初始妥协向量尚不清楚。然而，下一阶段攻击的细节表明，威胁行为者可能会使用鱼叉式网络钓鱼或类似技术。

攻击遵循特定模式，其中向受害者提供恶意 URL，并用于将他们引导至托管在受感染 Web 服务器上的 ZIP 存档。当打开交付的 ZIP 文件时，它包含一个诱饵文档和一个恶意 LNK 文件。在攻击的下一阶段，一个名为 PowerMagic 的后门被部署到被破坏的设备上。后门允许攻击者访问受害者的计算机并执行各种恶意活动，但其主要目的是获取和部署 CommonMagic 恶意软件框架，这是一种更加专业的恶意软件。

CommonMagic - 一个前所未见的威胁框架

已发现受PowerMagic恶意软件影响的所有受害者都感染了一种更为复杂和复杂的恶意框架，该框架被称为 CommonMagic。 CommonMagic 包含各种可执行模块，所有这些模块都存储在位于 C:\ProgramData\CommonCommand 的目录中。每个模块作为一个独立的可执行文件启动，并通过命名管道与其他模块通信。这些模块专为与命令和控制 (C&C) 服务器通信、C&C 流量的加密和解密以及执行多种恶意操作而设计。

迄今为止发现的两个模块具备以三秒为间隔捕获屏幕截图以及从连接的任何 USB 设备检索感兴趣文件的功能。该框架使用 OneDrive 远程文件夹传输数据，攻击者和受害者之间通过 OneDrive 交换的任何数据都使用 RC5Simple 开源库加密。