これらはどちらもマルウェアの名前です。
PowerMagicはバックドアに分類されるもので、CommonMagicはフレームワークに分類されるものとなっています。
これらを組み合わせて悪用されている事例が観測されています。
どのような手口でしょうか。
- 初期感染はZIPファイル
新しい手口ではありません。
初期感染はZIPファイルから始まります。
スピアフィッシングか何かの方法で被害者の手元にURLを届け、そこにハイパーリンクされているZIPファイルを入手させます。 - ZIPの中身
ZIPファイルの中には2つのファイルが含まれていました。
1つはpdfでこちらはいわゆる囮文書です。
もう1つがLNKファイルでこちらが攻撃に使用するものとなります。
そんなものを簡単に開くのかという話がありますが、今回の例では、このファイルの拡張子は「.pdf.lnk」となっていました。
これ単体でもうっかり開いてしまうのかもしれませんが、より周到な手も用意されていました。
囮文書である普通のpdfの文面の中にハイパーリンクがあり、そのリンクをクリックするとこの拡張子が.pdf.lnkのファイルを開くように作られていたのです。
よく練られた仕組みになっています。 - LNKファイルはMSIを持ってくる
MSIはWindowsインストーラーの実行可能ファイルです。
この形式にまとめらたマルウェアを取得します。
持ってこられたMSIはそのままインストールが実施され、感染環境にファイルを設置します。
ここで動作するファイルは暗号化されたものとなっていますので、通常の方法で悪意ある内容が含まれていることを判定することは容易ではありません。 - PowerMagicの設置
LNKが展開することになる内容の中にPowerMagicが含まれます。
すでに永続化の手配も完了してしまっています。
このPowerMagicはバックドアですので、各種機能が搭載されています。
動作を開始するとC2との通信を実施するloop処理に入り、コマンドを待ち受けます。 - PowerMagicの機能
C2の指令はコマンドファイルとして入手します。
現在のバージョンで悪用されているのはOneDriveとDropboxです。
このファイル共有に置かれたファイルを入手し、そのなかにある命令を取得します。
命令はPowerShellの形式で書かれていますので、それをそのまま実行します。
そしてその実行結果をコマンド入手時と同じようにクラウドストレージに保存します。 - CommonMagicの感染
PowerMagicの活動の中に、CommonMagicの設置も含まれていたことが考えられます。
PowerMagicの感染の多くの事例で、CommonMagicにも感染していることが確認されています。
CommonMagicはいくつかの実行可能モジュールで構成されています。
そしてこれらは名前付きパイプを介して通信します。
CommonMagicもPowerMagicと同様、クラウドストレージを悪用します。
OneDriveリモートフォルダーをトランスポートとして使用し、マルウェアに埋め込まれたOAuth更新トークンを使用して、MicrosoftGraph APIを利用します。
CommonMagicにはいくつものプラグインが用意されています。
USBストレージから各種ドキュメントファイルを取得する機能もありますし、スクリーンショットを取得して外部に送信する機能も搭載しています。
PowerMagicとCommonMagicはどちらもある段階では暗号化されていますし、環境に入ってきてしまうと手元のセキュリティ機構で防御することは容易ではありません。
しかし、そもそもとして不明なファイルを入手していなければ、不明なファイルを展開していなければ、不明なファイルを閲覧していなければ、不明なファイルのなかのリンクをクリックしていなければ、この攻撃は成り立っていません。
しかし、事実として、これらのマルウェアに感染してしまっている事例は多数観測されています。
配布される経路の工夫や囮文書の魅力の向上など、いろいろな手が巧妙化しているということなのかもしれません。
基本的な対策の重要性を再認識する必要がありそうです。
参考記事(外部リンク):Bad magic: new APT found in the area of Russo-Ukrainian conflict
securelist.com/bad-magic-apt/109087/
| この記事をシェア |
|
|---|
