Она длится с 2021 года
В конце 2022 года эксперты «Лаборатории Касперского» выявили атаку на правительственные, сельскохозяйственные и транспортные организации, расположенные в регионах Донецка, Луганска и Крыма. Кампания кибершпионажа длится как минимум с сентября 2021 года. В ней используется ранее неизвестное специалистам по кибербезопасности вредоносное ПО — сложный модульный фреймворк, который эксперты «Лаборатории Касперского» назвали CommonMagic. Он устанавливается после заражения устройства PowerShell-бэкдором.
Как происходит заражение. Предположительно атака начинается с рассылки целевых фишинговых писем по электронной почте якобы от государственной организации. Жертва скачивает с вредоносного веб-сервера ZIP-архив, в котором содержатся два файла. Первый — безвредный документ-приманка (в формате PDF, XLSX или DOCX), второй — вредоносный LNK-файл с двойным расширением (например, .pdf.lnk).
Если скачать архив и нажать на ярлык, на устройство проникает бэкдор PowerMagic. Он получает команды из удалённой папки, расположенной в публичном облаке, выполняет их и затем загружает результаты исполнения файлов обратно в облако. PowerMagic внедряется в систему и остаётся в ней даже после перезагрузки заражённого устройства.
Эксперты полагают, что PowerMagic используется также для развёртывания вредоносной платформы CommonMagic, которая состоит из нескольких модулей. Каждый из них представляет собой исполняемый файл, который обменивается данными с другими модулями. Программное обеспечение может красть файлы с USB-устройств, а также делать скриншоты каждые три секунды и отправлять их атакующим.
Цепочка заражения
На момент публикации эксперты не выявили прямой связи кода и данных с какими-либо известными ранее кампаниями. Однако данная угроза до сих пор активна, и исследование продолжается.
«Геополитика всегда влияет на ландшафт киберугроз и приводит к появлению новых. Мы следим за этой кампанией. Примечательны в ней не вредоносное ПО и техники — они не самые хитроумные, а то, что в качестве командно-контрольной инфраструктуры используется облачное хранилище. Мы продолжим исследовать эту угрозу и, надеюсь, сможем позднее рассказать о CommonMagic больше», — комментирует Леонид Безвершенко, эксперт по кибербезопасности в «Лаборатории Касперского».
Полный отчёт о кампании CommonMagic можно прочитать по ссылке: https://securelist.ru/bad-magic-apt/107020/.
Чтобы защититься от сложных кибератак, «Лаборатория Касперского» рекомендует компаниям:
- предоставлять специалистам SOC-центра доступ к самым свежим данным об угрозах, например к порталу Kaspersky Threat Intelligence Portal, на котором собраны данные о кибератаках, накопленные за более 20 лет работы «Лаборатории Касперского». Свободный доступ к базовым функциям открыт по ссылке https://opentip.kaspersky.com/;
- внедрять EDR -решения, например Kaspersky Endpoint Detection and Response, для обнаружения угроз на конечных устройствах, расследования и своевременного восстановления после инцидентов;
- в дополнение к основным защитным продуктам использовать решение корпоративного уровня, способное детектировать продвинутые угрозы на сетевом уровне на ранней стадии, такое как Kaspersky Anti Targeted Attack Platform;
- обучать сотрудников базовым правилам кибергигиены, поскольку атаки часто начинаются с фишинга или других техник социальной инженерии.