Les chercheurs en sécurité ont découvert des attaques d’un acteur de menace avancé qui utilisait « un cadre malveillant auparavant inconnu » appelé CommonMagic et une nouvelle porte dérobée appelée PowerMagic.
Les deux logiciels malveillants sont utilisés depuis au moins septembre 2021 dans des opérations qui se poursuivent à ce jour et ciblent des organisations des secteurs de l’administration, de l’agriculture et des transports à des fins d’espionnage.
Nouvelle boîte à outils malveillante abandonnée
Les chercheurs de la société de cybersécurité Kaspersky affirment que les pirates sont intéressés par la collecte de données auprès des victimes à Donetsk, Lougansk et Crimée.
Une fois à l’intérieur du réseau victime, les attaquants à l’origine de la campagne d’espionnage CommonMagic peuvent utiliser des plug-ins distincts pour voler des documents et des fichiers (DOC, DOCX, XLS, XLSX, RTF, ODT, ODS, ZIP, RAR, TXT, PDF) à partir de périphériques USB.
Le logiciel malveillant utilisé peut également prendre des captures d’écran toutes les trois secondes à l’aide de l’API Windows Graphics Device Interface (GDI).
Les chercheurs pensent que le vecteur d’infection initial est le spear phishing ou une méthode similaire pour fournir une URL pointant vers une archive ZIP avec un fichier LNK malveillant.
Un document leurre (PDF, XLSX, DOCX) dans l’archive a détourné l’utilisateur cible de l’activité malveillante qui a commencé en arrière-plan lorsque le fichier LNK déguisé en PDF a été lancé.
Kaspersky dit que l’activation du LNK malveillant conduirait à infecter le système avec une porte dérobée basée sur PowerShell jusque-là inconnue que le chercheur a nommée PowerMagic d’après une chaîne dans le code du logiciel malveillant.
La porte dérobée communique avec le serveur de commande et de contrôle (C2) pour recevoir des instructions et télécharger les résultats à l’aide des dossiers OneDrive et Dropbox.
Suite à l’infection par PowerMagic, les cibles ont été infectées par CommonMagic, une collection d’outils malveillants que les chercheurs n’avaient pas vus avant ces attaques.
Le framework CommonMagic comporte plusieurs modules qui démarrent en tant qu’exécutables autonomes et utilisent des canaux nommés pour communiquer.
L’analyse de Kaspersky a révélé que les pirates ont créé des modules dédiés pour diverses tâches, de l’interaction avec le C2 au chiffrement et au déchiffrement du trafic du serveur de commande, au vol de documents et à la prise de captures d’écran.
L’échange de données avec le C2 se fait également via un dossier OneDrive et les fichiers sont cryptés à l’aide de la bibliothèque open-source RC5Simple avec une séquence personnalisée – Hwo7X8p – au début du cryptage.
Caché derrière des tactiques ordinaires
Les logiciels malveillants ou les méthodes observées dans les attaques CommonMagic ne sont ni complexes ni innovantes. Une chaîne d’infection impliquant des fichiers LNK malveillants dans des archives ZIP a été observée avec plusieurs acteurs de la menace.
La société de réponse aux incidents Security Joes a annoncé le mois dernier la découverte d’une nouvelle porte dérobée appelée IceBreaker qui a été livrée à partir d’un LNK malveillant dans une archive ZIP.
Une méthode similaire a été observée dans une campagne ChromeLoader qui s’appuyait sur un LNK malveillant pour exécuter un script batch et extraire le contenu d’un conteneur ZIP pour récupérer la charge utile finale.
Cependant, la technique la plus proche de CommonMagic est un acteur menaçant que Cisco Talos suit sous le nom de YoroTrooper, qui s’est engagé dans une activité de cyberespionnage en utilisant des e-mails de phishing livrant des fichiers LNK malveillants et des documents PDF leurres enfermés dans une archive ZIP ou RAR.
Malgré l’approche non habituelle, cependant, la méthode de CommonMagic s’est avérée efficace, dit Kaspersky.
Les chercheurs ont découvert une infection active en octobre de l’année dernière, mais ont suivi quelques attaques de cet acteur menaçant datant de septembre 2021.
Leonid Besverzhenko, chercheur en sécurité au sein de l’équipe mondiale de recherche et d’analyse de Kaspersky, a déclaré à Breachtrace que la porte dérobée PowerMagic et le framework CommonMagic ont été utilisés dans des dizaines d’attaques.
Bien que l’activité de CommonMagic semble avoir commencé en 2021, Besverzhenko dit que l’adversaire a intensifié ses efforts l’année dernière et continue d’être actif aujourd’hui.
En combinant des techniques peu sophistiquées qui ont été utilisées par plusieurs acteurs et un code malveillant original, les pirates ont réussi à rendre impossible une connexion à d’autres campagnes à ce moment.
Un porte-parole de Kaspersky a déclaré à Braechtrace que « la victimologie limitée et les leurres sur le thème du conflit russo-ukrainien suggèrent que les attaquants ont probablement un intérêt spécifique pour la situation géopolitique dans cette région ».