Peneliti keamanan telah menemukan serangan dari aktor ancaman tingkat lanjut yang menggunakan “kerangka kerja berbahaya yang sebelumnya tidak terlihat” yang disebut CommonMagic dan pintu belakang baru bernama PowerMagic.
Kedua malware tersebut telah digunakan setidaknya sejak September 2021 dalam operasi yang berlanjut hingga hari ini dan menargetkan organisasi di sektor administrasi, pertanian, dan transportasi untuk tujuan spionase.
Toolkit berbahaya baru turun
Para peneliti di perusahaan keamanan siber Kaspersky mengatakan bahwa para peretas tertarik untuk mengumpulkan data dari para korban di Donetsk, Lugansk, dan Krimea.
Begitu berada di dalam jaringan korban, penyerang di balik kampanye spionase CommonMagic dapat menggunakan plugin terpisah untuk mencuri dokumen dan file (DOC, DOCX, XLS, XLSX, RTF, ODT, ODS, ZIP, RAR, TXT, PDF) dari perangkat USB.
Malware yang digunakan juga dapat mengambil tangkapan layar setiap tiga detik menggunakan Antarmuka Perangkat Grafik Windows (GDI)API.
Para peneliti percaya bahwa vektor infeksi awal adalah spear phishing atau metode serupa untuk mengirimkan URL yang mengarah ke arsip ZIP dengan file LNK berbahaya.
Dokumen umpan (PDF, XLSX, DOCX) di arsip mengalihkan pengguna target dari aktivitas jahat yang dimulai di latar belakang saat file LNK yang disamarkan sebagai PDF diluncurkan.
sumber: Kaspersky
Kaspersky mengatakan bahwa mengaktifkan LNK berbahaya akan menyebabkan menginfeksi sistem dengan pintu belakang berbasis PowerShell yang sebelumnya tidak dikenal yang oleh peneliti diberi nama PowerMagic setelah string dalam kode malware.
Backdoor berkomunikasi dengan server command and control (C2) untuk menerima instruksi dan mengunggah hasilnya menggunakan folder OneDrive dan Dropbox.
Setelah infeksi PowerMagic, target terinfeksi CommonMagic, kumpulan alat berbahaya yang belum pernah dilihat peneliti sebelum serangan ini.
Kerangka kerja CommonMagic memiliki beberapa modul yang dimulai sebagai executable mandiri dan menggunakan pipa bernama untuk berkomunikasi.
milik Kaspersky analisis terungkap bahwa para peretas membuat modul khusus untuk berbagai tugas, mulai dari berinteraksi dengan C2 hingga mengenkripsi dan mendekripsi lalu lintas dari server perintah, mencuri dokumen, dan mengambil tangkapan layar.
sumber: Kaspersky
Pertukaran data dengan C2 juga dilakukan melalui folder OneDrive dan file dienkripsi menggunakan RC5Simple perpustakaan sumber terbuka dengan urutan yang disesuaikan – Hwo7X8p – di awal enkripsi.
Bersembunyi di balik taktik biasa
Malware atau metode yang terlihat dalam serangan CommonMagic tidak rumit atau inovatif. Rantai infeksi yang melibatkan file LNK berbahaya dalam arsip ZIP telah diamati dengan beberapa pelaku ancaman.
Perusahaan tanggap insiden Security Joes mengumumkan bulan lalu penemuan a pintu belakang baru bernama IceBreaker yang dikirimkan dari LNK berbahaya dalam arsip ZIP.
Metode serupa terlihat pada a kampanye ChromeLoader yang mengandalkan LNK jahat untuk menjalankan skrip batch dan mengekstrak konten wadah ZIP untuk mengambil muatan akhir.
Namun, yang paling dekat dengan teknik CommonMagic adalah aktor ancaman yang dilacak oleh Cisco Talos YoroTrooperyang terlibat dalam aktivitas spionase dunia maya menggunakan email phishing yang mengirimkan file LNK berbahaya dan dokumen PDF pemikat yang terbungkus dalam arsip ZIP atau RAR.
Terlepas dari pendekatan non-biasa, metode CommonMagic terbukti berhasil, kata Kaspersky.
Para peneliti menemukan infeksi aktif pada Oktober tahun lalu, tetapi melacak beberapa serangan dari aktor ancaman ini hingga September 2021.
Leonid Besverzhenko, peneliti keamanan di Tim Riset dan Analisis Global Kaspersky, mengatakan kepada BleepingComputer bahwa pintu belakang PowerMagic dan kerangka kerja CommonMagic digunakan dalam lusinan serangan.
Meskipun aktivitas CommonMagic tampaknya telah dimulai pada tahun 2021, Besverzhenko mengatakan bahwa musuh telah mengintensifkan upaya mereka tahun lalu dan terus aktif hingga hari ini.
Dengan menggabungkan teknik tidak canggih yang telah digunakan oleh banyak pelaku dan kode jahat asli, para peretas berhasil membuat koneksi ke kampanye lain tidak mungkin dilakukan saat ini.
Seorang juru bicara dari Kaspersky mengatakan kepada BleepingComputer bahwa “viktimologi terbatas dan iming-iming bertema konflik Rusia-Ukraina menunjukkan bahwa penyerang kemungkinan memiliki minat khusus dalam situasi geopolitik di wilayah itu.”
