威胁情报信息分享|Bad Magic 在APT攻击活动中的历史可追溯到十年前

这个APT组织被追踪到与针对俄罗斯-乌克兰冲突地区的公司发起的网络攻击有关，最早于2016年5月首次曝光。

俄罗斯的网络安全公司卡巴斯基（Kaspersky）在上周发布的一份技术报告中表示：“虽然之前的目标主要位于顿涅茨克、卢甘斯克和克里米亚地区，但现在的范围已扩大，包括乌克兰西部和中部的个人、外交机构和研究组织。”

该攻击活动的特点是使用了一种名为CloudWizard的新型模块化框架，具备截屏、录制麦克风、记录按键、获取密码和收集Gmail收件箱等功能。

卡巴斯基公司于2023年3月首次记录了Bad Magic，并详细描述了该组织使用名为PowerMagic（又称为DBoxShell或GraphShell）的后门和一个名为CommonMagic的模块化框架，在攻击俄罗斯占领的乌克兰领土时使用。

然后在本月早些时候，Malwarebytes透露该组织自2020年12月以来至少发起了五波APT攻击。

卡巴斯基公司通过研究历史遥测数据，提供了更深入的洞察，将Bad Magic与之前的活动联系在一起，从而使该公司能够确定与CloudWizard框架相关的各种工具。

目前尚不清楚用于释放第一阶段安装程序的初始访问向量。然而，该恶意软件被配置为释放一个Windows服务（"syncobjsup.dll"）和一个第二个文件（"mods.lrc"），而该文件又包含三个不同的模块，用于收集和外传敏感数据。

这些信息以加密形式传输到由行动者控制的云存储端点（OneDrive、Dropbox或Google Drive）。在这些服务都无法访问的情况下，将使用Web服务器作为备用机制。

卡巴斯基表示，它在旧版CloudWizard和另一种名为Prikormka的恶意软件之间发现了源代码重叠，Prikormka是由斯洛伐克网络安全公司ESET于2016年发现的。

这次被ESET称为Operation Groundbait的APT攻击主要针对顿涅茨克和卢甘斯克的反政府分离分子以及乌克兰政府官员、政治家和记者。

Prikormka通过恶意电子邮件附件中的一个分发程序进行部署，并包含13个不同的组件，用于从受感染的计算机中收集各种数据。ESET收集的证据显示，自2008年以来，这种恶意软件已被有选择地使用。

CloudWizard也与一个名为BugDrop的相关入侵组织存在相似之处，该组织由CyberX（后来被Microsoft收购）于2017年公开披露，工业网络安全公司将其描述为比Groundbait更先进。

CloudWizard和CommonMagic之间也发现了共同之处，包括受害者群体和源代码重叠，表明该威胁行为者一直在不断调整其恶意软件库，并在约15年的时间内感染目标。

将CloudWizard框架归因于Operation Groundbait和Operation BugDrop背后的APT组织的最新发现，为揭示这个神秘组织起源的更大画面提供了另一块拼图。

卡巴斯基研究员乔治·库切林（Georgy Kucherin）表示：“对这些行动负责的威胁行为者展示了对APT行为活动的持续和长期承诺，不断改进他们的工具集，并持续瞄准感兴趣的组织已有15年之久。”

“地缘政治因素继续是高级持续性威胁攻击的重要动因，鉴于俄乌冲突地区的紧张局势，我们预计这个APT组织将在可预见的未来继续进行他们的活动。”

原文始发于微信公众号（XDsecurity）：威胁情报信息分享|Bad Magic 在APT攻击活动中的历史可追溯到十年前