马萨诸塞州沃本 - 19 年 2023 月 XNUMX 日 - 卡巴斯基研究人员提供了有关 普通魔法 活动,该活动于 XNUMX 月首次出现,目标是俄乌冲突地区的公司。 新研究揭示了来自同一威胁行为者的更复杂的恶意活动。 调查发现,新发现的框架已将其受害者学扩展到包括乌克兰中部和西部的组织。 卡巴斯基专家还将这个未知的攻击者与之前的 APT 活动联系起来,例如 Operation BugDrop 和 Operation Groundbai (Prikormka)。
2023年XNUMX月,卡巴斯基 报道 在俄乌冲突地区开展新的 APT 活动。 该活动名为 CommonMagic,利用 PowerMagic 和 CommonMagic 植入物进行间谍活动。 自 2021 年 XNUMX 月起活跃,它使用以前未识别的恶意软件从目标实体收集数据。 尽管当时对这次攻击负责的威胁行为者仍然未知,但卡巴斯基专家坚持调查,将未知活动追溯到被遗忘的活动,以收集更多见解。
最近发现的活动使用了一个名为 CloudWizard 的模块化框架。 卡巴斯基的研究在该框架内确定了总共 9 个模块,每个模块负责不同的恶意活动,例如收集文件、键盘记录、捕获屏幕截图、记录麦克风输入和窃取密码。 值得注意的是,其中一个模块侧重于从 Gmail 帐户中窃取数据。 通过从浏览器数据库中提取 Gmail cookie,此模块可以访问和走私活动日志、联系人列表以及与目标帐户关联的所有电子邮件消息。
此外,研究人员发现该活动中的受害者分布有所扩大。 虽然之前的目标主要位于顿涅茨克、卢甘斯克和克里米亚地区,但现在范围已经扩大到包括乌克兰西部和中部的个人、外交实体和研究组织。
在对 CloudWizard 进行广泛研究后,卡巴斯基专家在将其归因于已知威胁行为者方面取得了重大进展。 他们观察到 CloudWizard 与之前记录的两个活动之间的显着相似之处:Operation Groundbait 和 Operation BugDrop。 这些相似性包括代码相似性、文件命名和列表模式、由乌克兰托管服务托管,以及乌克兰西部和中部以及东欧冲突地区的共享受害者资料。
此外,CloudWizard 还与最近报道的 CommonMagic 活动有相似之处。 代码的某些部分是相同的,它们使用相同的加密库,遵循相似的文件命名格式,并在东欧冲突地区共享受害者位置。
基于这些发现,卡巴斯基专家得出结论,Prikormka、Operation Groundbait、Operation BugDrop、CommonMagic 和 CloudWizard 的恶意活动可能都归因于同一个活跃的威胁参与者。
卡巴斯基全球研究与分析团队的安全研究员 Georgy Kucherin 表示:“负责这些行动的威胁行为者表现出对网络间谍活动的持续不断的承诺,不断增强他们的工具集并瞄准感兴趣的组织超过 XNUMX 年。” “地缘政治因素仍然是 APT 攻击的重要推动因素,鉴于俄乌冲突地区普遍存在的紧张局势,我们预计该攻击者将在可预见的未来坚持其行动。”
在 Securelist 上阅读有关 CloudWizard 活动的完整报告。
为了避免成为已知或未知威胁行为者针对性攻击的受害者,卡巴斯基研究人员建议采取以下措施:
- 让您的 SOC 团队能够访问最新的威胁情报 (TI)。 卡巴斯基威胁情报门户 是公司 TI 的单一访问点,为其提供卡巴斯基 20 多年来收集的网络攻击数据和见解。
- 提升您的网络安全团队的技能,以应对最新的针对性威胁 卡巴斯基在线培训 由 GReAT 专家开发
- 对于端点级别的检测、调查和事件的及时补救,实施 EDR 解决方案,例如 卡巴斯基端点检测和响应
- 除了采用必要的端点保护外,还实施企业级安全解决方案,在早期阶段检测网络级别的高级威胁,例如 卡巴斯基反针对性攻击平台
- 由于许多有针对性的攻击都是从网络钓鱼或其他社会工程技术开始的,因此引入安全意识培训并向您的团队传授实用技能——例如,通过 卡巴斯基自动安全意识平台
- SEO 支持的内容和 PR 分发。 今天得到放大。
- 柏拉图爱流。 Web3 数据智能。 知识放大。 访问这里。
- 与 Adryenn Ashley 一起铸造未来。 访问这里。
- 使用 PREIPO® 买卖 PRE-IPO 公司的股票。 访问这里。
- Sumber: https://www.darkreading.com/attacks-breaches/commonmagic-apt-campaign-broadens-target-scope-to-central-and-western-ukraine
