www.marcommit.nlwww.lubbersdejong.nlProgressCommunications.eu
ProgressCommunications.euProgressCommunications.euINFLUX PR

x.com/ictberichten
Datum: (2 jaar en 61 dagen geleden)
Bedrijf:
PR: Progress Communications

Onderzoekers van Kaspersky ontdekken een lopende APT-campagne gericht op organisaties in het Russisch-Oekraïense conflictgebied

Utrecht, 22 maart 2023 - In oktober 2022 ontdekten onderzoekers van Kaspersky een doorlopende advanced persistent threat (APT) campagne gericht op organisaties in het gebied dat getroffen wordt door het voortdurende conflict tussen Rusland en Oekraïne. Deze spionagecampagne, met de naam CommonMagic, is ten minste sinds september 2021 actief en maakt gebruik van een voorheen onbekende malware om gegevens van zijn doelwitten te verzamelen. De doelwitten zijn onder meer overheids-, landbouw- en transportorganisaties in de regio's Donetsk, Luhansk en de Krim.

De aanvallen worden uitgevoerd met behulp van een op PowerShell gebaseerde backdoor met de naam PowerMagic en een nieuw kwaadaardig raamwerk met de naam CommonMagic. Dit laatste kan bestanden van USB-apparaten stelen, gegevens verzamelen en naar de aanvaller sturen. Het potentieel is echter niet beperkt tot deze twee functies, aangezien de structuur van het modulaire framework de introductie van aanvullende schadelijke activiteiten via nieuwe schadelijke modules mogelijk maakt.

De aanvallen begonnen waarschijnlijk met spearphishing of soortgelijke methoden, zoals de volgende stappen in de infectieketen suggereren. De doelwitten werden naar een URL geleid, die op zijn beurt leidde naar een ZIP-archief dat op een kwaadaardige server werd gehost. Het archief bevatte een kwaadaardig bestand dat de PowerMagic-backdoor implementeerde en een onschuldig lokdocument dat bedoeld was om de slachtoffers te laten geloven dat de inhoud legitiem was. Kaspersky ontdekte een aantal van dergelijke lokarchieven met titels die verwijzen naar verschillende decreten van organisaties die relevant zijn voor de regio's.



Decoy Word-document (onderwerp: Resultaten van de Staatsdoema verkiezingen in de Republiek van de Krim)

Zodra het slachtoffer het archief downloadt en op het snelkoppelingsbestand in het archief klikt, wordt die geïnfecteerd met de PowerMagic backdoor. De backdoor ontvangt opdrachten van een externe map op een openbare cloudopslagdienst, voert de opdrachten van de server uit en uploadt vervolgens de resultaten van de uitvoering terug naar de cloud. PowerMagic stelt zichzelf ook op in het systeem om permanent te worden gestart bij het opstarten van het geïnfecteerde apparaat.

Alle PowerMagic-doelen waarvan Kaspersky getuige was, waren ook geïnfecteerd met een modulair raamwerk dat ze CommonMagic hebben genoemd. Dit wijst erop dat CommonMagic waarschijnlijk wordt ingezet door PowerMagic, hoewel uit de beschikbare gegevens niet duidelijk blijkt hoe de infectie plaatsvindt.

Het CommonMagic framework bestaat uit meerdere modules. Elke kadermodule is een uitvoerbaar bestand dat in een afzonderlijk proces wordt gestart, waarbij de modules onderling kunnen communiceren.

Het framework is in staat om bestanden van USB-apparaten te stelen en om elke drie seconden screenshots te maken en deze naar de aanvaller te sturen.



CommonMagic framework infectieketen

Tot op de dag van vandaag bestaan er geen directe verbanden tussen de code en gegevens die in deze campagne zijn gebruikt en eerder bekende codes en gegevens. Aangezien de campagne echter nog steeds actief is en het onderzoek nog loopt, is het mogelijk dat verder onderzoek aanvullende informatie aan het licht brengt die kan helpen om deze campagne toe te schrijven aan een specifieke dreigingsactor. De beperkte victimologie en het onderwerp van de lokmiddelen suggereren dat de aanvallers waarschijnlijk een specifiek belang hebben bij de geopolitieke situatie in de crisisregio.

"Geopolitiek is altijd van invloed op het cyberdreigingslandschap en leidt tot de opkomst van nieuwe dreigingen. We houden de activiteiten in verband met het conflict tussen Rusland en Oekraïne al een tijdje in de gaten, en dit is een van onze laatste ontdekkingen. Hoewel de gebruikte malware en technieken in de CommonMagic-campagne niet bijzonder geavanceerd zijn, is het gebruik van cloudopslag als commando- en controle-infrastructuur opmerkelijk. We zullen ons onderzoek voortzetten en hopelijk meer inzichten in deze campagne kunnen delen", zegt Leonid Bezvershenko, security researcher bij Kaspersky's Global Research and Analysis Team (GReAT).

Lees het volledige rapport over de CommonMagic-campagne op Securelist.

###

Over Kaspersky
Kaspersky, opgericht in 1997, is wereldwijd actief op het gebied van cybersecurity en digital privacy. Kaspersky’s threat intelligence en security-expertise worden voortdurend omgezet in innovatieve security-oplossingen en -diensten om bedrijven, kritieke infrastructuren, overheden en consumenten van over de hele wereld te beschermen. Het uitgebreide securityportfolio van het bedrijf omvat toonaangevende endpoint security en een aantal gespecialiseerde security-oplossingen en -diensten om geavanceerde digitale bedreigingen te bestrijden. Meer dan 400 miljoen gebruikers en 240.000 zakelijke gebruikers worden beschermd door technologieën van Kaspersky. Kijk voor meer informatie op www.kaspersky.nl.
Geplaatst:
Verstreken tijd: 2 jaar en 61 dagen
PR contact  

Logo Progress Communications

Bedrijfsinfo  

Logo Kaspersky
  030 752 95 00
  info@kaspersky.nl
  www.kaspersky.nl

Marcommit is hét full service B2B marketing bureau van Nederland! Wij helpen jouw bedrijf met offline en online marketing campagnes die écht werken.
 Spotlight  
Logo UFI.EU
Logo The Factory
Logo Macanta
Logo Keuze.nl BV
Logo Alleo
Logo Reflex Online BV
Logo LocatieRapport
Logo Stromma Nederland
Logo Spryng
Logo Axini
Logo Glampings.com
Logo QR Connect
Logo Hostingjournalist.com
Logo The Caring Company
Logo Brainial B.V.
Logo TechOutlet
Logo Networking4ALL
Logo Networking4ALL
Logo TechOutlet
Logo Keuze.nl BV
Logo TechOutlet
Logo Twenty Four Webvertising
Logo Vlirdens
Logo TechOutlet
Logo Facilitor
Logo Spryng
Logo Facilitor
Logo Networking4ALL
Logo BusinessCom
Logo Onventis B.V.
Logo Kraken
Logo Proofpoint
Logo GXO
Logo Red Hat
Logo Pegasystems
Logo Dell Technologies
Logo Techleap.nl
Logo Dell Technologies
Logo HCC
Logo Conclusion
Logo PIDZ
Logo Schneider Electric
Logo Databricks
Logo ilionx
Logo SAS Nederland
TARIEVEN
• Publicatie eenmalig €49

PUBLICATIEBUNDELS
6 voor €199
12 voor €349
Onbeperkt €499

EENMALIG PLAATSEN
Persbericht aanleveren

REGELMATIG PLAATSEN
Bedrijfsabonnement
CONTACT
Persberichten.com
JMInternet
Kuyperstraat 48
7942 BR Meppel
Nederland
info@persberichten.com
KvK 54178096

VOLGEN
@ICTBERICHTEN

ZOEKEN
IT bedrijf
IT PR-bureau
OVER ONS
Persberichten.com, hét platform voor IT/Tech persberichten

DATABASE
101295 persberichten
6831 bedrijfsprofielen
56 PR-bureauprofielen
15705 tags

KENMERKEN
• Behouden tekstopmaak
• Foto/illustratie/logo
• Downloadbare bijlages
• Profiel met socials
 
www.marcommit.nlwww.lubbersdejong.nlProgressCommunications.eu
ProgressCommunications.euINFLUX PRINFLUX PR