В конце 2022 года эксперты «Лаборатории Касперского» выявили атаку на правительственные, сельскохозяйственные и транспортные организации, расположенные в регионах Донецка, Луганска и Крыма. Анализ собранных экспертами данных показал, что в атаке используется ранее неизвестное вредоносное ПО — сложная модульная платформа для кибершпионажа, которую эксперты «Лаборатории Касперского» назвали CommonMagic. Следы ее разработки и использования были замечены ещё в сентябре 2021 года.
«Общая магия» в действии
Предположительно атака начинается с рассылки целевых фишинговых писем по электронной почте якобы от государственной организации. Компьютер жертвы скачивает с вредоносного веб-сервера ZIP-архив, в котором содержатся два файла: безвредный документ-приманка в популярном офисном формате PDF, XLSX или DOCX, и вредоносная файл-ссылка с двойным расширением (например, .pdf.lnk), в которую встроен вредоносный код. Если пользователь нажимает на архивный файл, то вместе с открытием безобидного файла запускается и вредоносный сценарий загрузки троянца PowerMagic. Он уже получает команды из удалённой папки, расположенной в публичном облаке, выполняет их и затем загружает результаты исполнения файлов обратно в облако.
Далее PowerMagic внедряется в систему и остаётся в ней после перезагрузки заражённого устройства. Кроме того, эксперты полагают, что троянец используется и для развёртывания вредоносной платформы CommonMagic, которая состоит из нескольких модулей. Каждый из них представляет собой исполняемый файл, которые обмениваются данными друг с другом. В целом развернутая платформа может красть файлы с USB-устройств, а также делать скриншоты каждые три секунды и отправлять их атакующим.
«Геополитика всегда влияет на ландшафт киберугроз и приводит к появлению новых, – считает эксперт по кибербезопасности в «Лаборатории Касперского» Леонид Безвершенко. – Мы следим за этой кампанией. Примечательны в ней не вредоносное ПО и техники — они не самые хитроумные, а то, что в качестве командно-контрольной инфраструктуры используется облачное хранилище. Мы продолжим исследовать эту угрозу и, надеюсь, сможем позднее рассказать о CommonMagic больше».
APT под контролем
Рекомендации экспертов «Лаборатории Касперского» для защиты от сложных кибератак следующие: предоставить специалистам службы ИБ доступ к самым свежим данным об угрозах через TI-сервис; внедрять на рабочих станциях сотрудников EDR-решения; построить комплексную систему защиты с выявлением и отражением APT-атак; обучить сотрудников базовым правилам кибергигиены. Кроме того, рекомендуется отказаться от устаревшей операционной системы Windows и почтовых программ, которые не обновляются и не соответствуют требованиям безопасности.
