PowerMagic／CommonMagic というマルウェア：新たなバックドアと悪意のフレームワーク

Hackers use new PowerMagic and CommonMagic malware to steal data

2023/03/21 BleepingComputer — セキュリティ研究者たちが発見したのは、CommonMagic と呼ばれる “かつてない悪意のフレームワーク” と、PowerMagic と呼ばれる新しいバックドアを使用した、先進的な脅威アクターによる攻撃だ。これらのマルウェアは、2021年9月ころから現在まで続くオペレーションで使用され、行政／農業／輸送分野の組織をスパイ目的で狙っている。

新たな悪意のツールキットがドロップされた

サイバー・セキュリティ企業 Kaspersky の研究者たちによると、このハッカーたちは、ドネツク／ルガンスク／クリミアなどの被害者からデータを収集することに関心があるようだ。

被害者のネットワーク内に入ると、CommonMagic キャンペーンのオペレーターは、
個別のプラグインを使用して、USB デバイスから文書やファイル (DOC／DOCX／XLS／XLSX／RTF／ODT／ODS／ZIP／RAR／TXT／PDF) を盗み出す。

また、使用されたマルウェアは、Windows Graphics Device Interface (GDI) API を使用して、３秒ごとにスクリーンショットを撮影することもできる。

イニシャル感染経路はスピア・フィッシングや類似の方法で、悪意の LNK ファイルを含む ZIP アーカイブを指す URL を配信すると、研究者たちは考えている。アーカイブ内のルアーとなるドキュメント (PDF／XLSX／DOCX) は、PDF に偽装された LNK ファイルが起動した際にバックグラウンドで始まる悪意のアクティビティから、ターゲットの注意をそらすものだった。

Kaspersky は、悪意の LNK をアクティブにすると、これまで未知だった PowerShell ベースのバックドアにシステムが感染すると述べている。研究者たちは、このバックドアを、マルウェアのコードの文字列にちなんで PowerMagic と命名した。

このバックドアは、C2 サーバと通信して指示を受け、OneDrive や Dropbox のフォルダを悪用して結果をアップロードする。

調査／分析されたターゲットは、PowerMagic に感染しているだけではなく、研究者たちも見たことのなかった悪意のツールの集合体である、CommonMagic にも感染していた。

CommonMagic フレームワークに含まれるものとしては、スタンドアロン実行ファイルとして起動し、名前付きパイプを使用して通信する、いくつかのモジュールがある。

Kaspersky の分析により、専用モジュールが作成されていたことが判明した。具体的に言うと、ハッカーは C2 とのやり取りから、コマンド・サーバ・トラフィックの暗号化と復号化、ドキュメントの窃取、スクリーンショットの撮影などにいたる、さまざまなタスクに対応するものだった。

C2 とのデータ交換も OneDrive フォルダ経由で行われ、そのファイルは RC5Simple オープンソース・ライブラリを用いて暗号化され、暗号化の先頭には Hwo7X8p というカスタマイズされたシーケンスが付与されている。

一般的な手口の裏側に身を隠す

CommonMagic の攻撃で用いられるマルウェアや手法は、複雑でも革新的でもない。ZIP アーカイブ内の悪意の LNK ファイルを含む感染チェーンは、複数の脅威アクターが採用しているものだ。

2023年2月に、インシデント・レスポンス企業の Security Joes は、ZIP アーカイブ内の悪意の LNK から配信される、IceBreaker という新しいバックドアの発見を発表している。同様の手法は、悪意の LNK に依存している ChromeLoader キャンペーンでも見られる。このキャンペーンでは、バッチスクリプトを実行し、ZIP コンテナのコンテンツを抽出して最終的なペイロードを取得していた。

しかし、CommonMagic の手法に最も近いのは、Cisco Talos が YoroTrooper として追跡している脅威アクターだ。彼らは、ZIP／RAR アーカイブに内包された悪意の LNK ファイルとデコイ PDF ドキュメントを配信するフィッシング・メールを使用して、サイバースパイ活動を展開している。そして、CommonMagic の手法は、慣例にとらわれない手法ではあるが、成功したことが証明されたと Kaspersky は述べている。

研究者たちは、昨年10月に活発な感染を発見したが、2021年9月の時点でも、この脅威アクターによる、いくつかの攻撃を追跡している。

Kaspersky Global Research and Analysis Team のセキュリティ研究者である Leonid Besverzhenko は、「PowerMagic バックドアと CommonMagic フレームワークは、何十もの攻撃に使用されてきた。CommonMagic の活動は 2021年に始まったと思われるが、昨年からアクティビティが強化され、現在も活動を続けている」と BleepingComputer に語っている。

複数の脅威アクターが使用してきた簡素なテクニックと、オリジナルの悪質なコードを組み合わせることで、このハッカーは現時点において、他のキャンペーンとの関連性を消し去ることに成功した。

Kaspersky の広報担当者は BleepingComputer に、「被害者が限定されていること、また、ロシア／ウクライナ紛争がテーマにされていることから、この攻撃者は地政学的な状況に強い関心を持っている可能性が高い」と述べている。

一般的なビジネスの世界においても、技術が突出しているだけで成功を収められるものではありません。それと同様に、サイバー攻撃の世界も、なんらかの勘どころがあり、そこを押さえた者が成功するのだと、つくづく感心してしまいました。この記事を読む限り、専用モジュールへの投資と、デコイ PDF や暗号化のあたりに、秘訣があるのだろうと思えてきます。PowerMagic／CommonMagic を操る、とても実践的な脅威アクターという感じです。よろしければ、Ukraine ページも、ご参照ください。