安全专家近期发现了一个使用PowerMagic和CommonMagic植入物的APT攻击活动。在调查过程中,他们发现了一组与CommonMagic和PowerMagic具有相似性的木马。进一步的分析确认,这一系列高度复杂的活动均源自同一威胁组织。
CloudWizard活动
这个APT攻击活动使用了一个名为CloudWizard的模块化框架。这个框架能够进行屏幕截图、键盘记录以及通过麦克风录制音频。CloudWizard的代码与CommonMagic完全相同,它们使用相同的加密库和文件命名格式,并在相同的地点对受害者进行攻击。此外,被认为是此活动幕后主谋的同一威胁行动者,也被认为是其他恶意活动(如Operation BugDrop和Operation Groundbait)的幕后黑手。
据报告,受害者主要是位于顿涅茨克、卢甘斯克、克里米亚以及乌克兰中部和西部的个人、外交和研究组织体。
更多洞察
CloudWizard框架由九个模块组成,使得其具有各种黑客能力,包括键盘记录、文件收集、麦克风输入录制、密码窃取和屏幕截图。该框架最令人担忧的功能之一是其能够从浏览器数据库中提取Gmail cookies,这使其可以访问和窃取目标账户的数据。
结论
负责此活动的攻击者在网络间谍行动中展现出高度的坚持和承诺。他们不断完善他们的工具集,并对具有吸引力的组织进行攻击。为了防范此类威胁,组织必须限制设备访问,维护有效的端点安全,并确保系统和软件定期进行补丁修复和更新。
原文始发于微信公众号(XDsecurity):威胁情报信息分享|CommonMagic木马与CloudWizard关联
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论