普通魔法

Infosec 研究人員已經成功地識別出使用以前未知的惡意軟件框架針對烏克蘭關鍵部門組織的攻擊活動，這清楚地表明網絡戰作為戰爭的一部分繼續發揮著積極作用。目標組織在政府、農業和交通部門開展業務，位於頓涅茨克、盧甘斯克和克里米亞地區。

這些攻擊涉及一個名為 CommonMagic 的新模塊化框架，這是以前從未見過的。該框架似乎旨在滲透和破壞目標組織，可能會危及敏感信息並破壞關鍵基礎設施。目前尚不清楚誰應對這些攻擊負責，也不清楚他們的最終目標是什麼。這種情況仍在持續，受影響地區的組織應採取措施保護其網絡和系統免受潛在威脅。

複雜的攻擊鏈提供 CommonMagic 惡意軟件

據研究人員稱，確切的初始妥協向量尚不清楚。然而，下一階段攻擊的細節表明，威脅行為者可能會使用魚叉式網絡釣魚或類似技術。

攻擊遵循特定模式，其中向受害者提供惡意 URL，並用於將他們引導至託管在受感染 Web 服務器上的 ZIP 存檔。當打開交付的 ZIP 文件時，它包含一個誘餌文檔和一個惡意 LNK 文件。在攻擊的下一階段，一個名為 PowerMagic 的後門被部署到被破壞的設備上。後門允許攻擊者訪問受害者的計算機並執行各種惡意活動，但其主要目的是獲取和部署 CommonMagic 惡意軟件框架，這是一種更加專業的惡意軟件。

CommonMagic - 一個前所未見的威脅框架

已發現受PowerMagic惡意軟件影響的所有受害者都感染了一種更為複雜和復雜的惡意框架，該框架被稱為 CommonMagic。 CommonMagic 包含各種可執行模塊，所有這些模塊都存儲在位於 C:\ProgramData\CommonCommand 的目錄中。每個模塊作為一個獨立的可執行文件啟動，並通過命名管道與其他模塊通信。這些模塊專為與命令和控制 (C&C) 服務器通信、C&C 流量的加密和解密以及執行多種惡意操作而設計。

迄今為止發現的兩個模塊具備以三秒為間隔捕獲屏幕截圖以及從連接的任何 USB 設備檢索感興趣文件的功能。該框架使用 OneDrive 遠程文件夾傳輸數據，攻擊者和受害者之間通過 OneDrive 交換的任何數據都使用 RC5Simple 開源庫加密。