Onderzoekers van Kaspersky ontdekken een lopende APT-campagne gericht op organisaties in het Russisch-Oekraïense conflictgebied

Utrecht, 22 maart 2023 – In oktober 2022 ontdekten onderzoekers van Kaspersky een doorlopende advanced persistent threat (APT) campagne gericht op organisaties in het gebied dat getroffen wordt door het voortdurende conflict tussen Rusland en Oekraïne. Deze spionagecampagne, met de naam CommonMagic, is ten minste sinds september 2021 actief en maakt gebruik van een voorheen onbekende malware om gegevens van zijn doelwitten te verzamelen. De doelwitten zijn onder meer overheids-, landbouw- en transportorganisaties in de regio’s Donetsk, Luhansk en de Krim.

De aanvallen worden uitgevoerd met behulp van een op PowerShell gebaseerde backdoor met de naam PowerMagic en een nieuw kwaadaardig raamwerk met de naam CommonMagic. Dit laatste kan bestanden van USB-apparaten stelen, gegevens verzamelen en naar de aanvaller sturen. Het potentieel is echter niet beperkt tot deze twee functies, aangezien de structuur van het modulaire framework de introductie van aanvullende schadelijke activiteiten via nieuwe schadelijke modules mogelijk maakt.

De aanvallen begonnen waarschijnlijk met spearphishing of soortgelijke methoden, zoals de volgende stappen in de infectieketen suggereren. De doelwitten werden naar een URL geleid, die op zijn beurt leidde naar een ZIP-archief dat op een kwaadaardige server werd gehost. Het archief bevatte een kwaadaardig bestand dat de PowerMagic-backdoor implementeerde en een onschuldig lokdocument dat bedoeld was om de slachtoffers te laten geloven dat de inhoud legitiem was. Kaspersky ontdekte een aantal van dergelijke lokarchieven met titels die verwijzen naar verschillende decreten van organisaties die relevant zijn voor de regio’s.

Zodra het slachtoffer het archief downloadt en op het snelkoppelingsbestand in het archief klikt, wordt die geïnfecteerd met de PowerMagic backdoor. De backdoor ontvangt opdrachten van een externe map op een openbare cloudopslagdienst, voert de opdrachten van de server uit en uploadt vervolgens de resultaten van de uitvoering terug naar de cloud. PowerMagic stelt zichzelf ook op in het systeem om permanent te worden gestart bij het opstarten van het geïnfecteerde apparaat.
Alle PowerMagic-doelen waarvan Kaspersky getuige was, waren ook geïnfecteerd met een modulair raamwerk dat ze CommonMagic hebben genoemd. Dit wijst erop dat CommonMagic waarschijnlijk wordt ingezet door PowerMagic, hoewel uit de beschikbare gegevens niet duidelijk blijkt hoe de infectie plaatsvindt.

Het CommonMagic framework bestaat uit meerdere modules. Elke kadermodule is een uitvoerbaar bestand dat in een afzonderlijk proces wordt gestart, waarbij de modules onderling kunnen communiceren.

Het framework is in staat om bestanden van USB-apparaten te stelen en om elke drie seconden screenshots te maken en deze naar de aanvaller te sturen.

CommonMagic framework infectieketen

Tot op de dag van vandaag bestaan er geen directe verbanden tussen de code en gegevens die in deze campagne zijn gebruikt en eerder bekende codes en gegevens. Aangezien de campagne echter nog steeds actief is en het onderzoek nog loopt, is het mogelijk dat verder onderzoek aanvullende informatie aan het licht brengt die kan helpen om deze campagne toe te schrijven aan een specifieke dreigingsactor. De beperkte victimologie en het onderwerp van de lokmiddelen suggereren dat de aanvallers waarschijnlijk een specifiek belang hebben bij de geopolitieke situatie in de crisisregio.

“Geopolitiek is altijd van invloed op het cyberdreigingslandschap en leidt tot de opkomst van nieuwe dreigingen. We houden de activiteiten in verband met het conflict tussen Rusland en Oekraïne al een tijdje in de gaten, en dit is een van onze laatste ontdekkingen. Hoewel de gebruikte malware en technieken in de CommonMagic-campagne niet bijzonder geavanceerd zijn, is het gebruik van cloudopslag als commando- en controle-infrastructuur opmerkelijk. We zullen ons onderzoek voortzetten en hopelijk meer inzichten in deze campagne kunnen delen”, zegt Leonid Bezvershenko, security researcher bij Kaspersky’s Global Research and Analysis Team (GReAT).

Lees het volledige rapport over de CommonMagic-campagne op Securelist.

###

Over Kaspersky
Kaspersky, opgericht in 1997, is wereldwijd actief op het gebied van cybersecurity en digital privacy. Kaspersky’s threat intelligence en security-expertise worden voortdurend omgezet in innovatieve security-oplossingen en -diensten om bedrijven, kritieke infrastructuren, overheden en consumenten van over de hele wereld te beschermen. Het uitgebreide securityportfolio van het bedrijf omvat toonaangevende endpoint security en een aantal gespecialiseerde security-oplossingen en -diensten om geavanceerde digitale bedreigingen te bestrijden. Meer dan 400 miljoen gebruikers en 240.000 zakelijke gebruikers worden beschermd door technologieën van Kaspersky. Kijk voor meer informatie op www.kaspersky.nl.