В конце 2022 года эксперты «Лаборатории Касперского» выявили атаку на правительственные, сельскохозяйственные и транспортные организации, расположенные в регионах Донецка, Луганска и Крыма. Об этом рассказали в пресс-службе компании.

В компании считают, что кибершпионаж длился с сентября 2021 года. "В ней используется ранее неизвестное специалистам по кибербезопасности вредоносное ПО — сложный модульный фреймворк, который эксперты «Лаборатории Касперского» назвали CommonMagic", - отмечается в сообщении на сайте "Лабаратории Касперского".

Как пояснили в компании, предположительно атака начинается с рассылки целевых фишинговых писем по электронной почте якобы от государственной организации. Жертва скачивает с вредоносного веб-сервера ZIP-архив, в котором содержатся два файла. Первый — безвредный документ-приманка в различных форматах, второй — вредоносный LNK-файл с двойным расширением (например, .pdf.lnk). Если скачать архив и нажать на ярлык, на устройство проникает бэкдор PowerMagic.

Эксперты  "Лабаратории Касперского".полагают, что PowerMagic используется также для развёртывания вредоносной платформы CommonMagic. Программное обеспечение может красть файлы с USB-устройств, а также делать скриншоты каждые три секунды и отправлять их атакующим.

В компании подчеркнули, что  данная угроза до сих пор активна, и ее исследование продолжается. 

«Геополитика всегда влияет на ландшафт киберугроз и приводит к появлению новых. Мы следим за этой кампанией. Примечательны в ней не вредоносное ПО и техники — они не самые хитроумные, а то, что в качестве командно-контрольной инфраструктуры используется облачное хранилище. Мы продолжим исследовать эту угрозу и, надеюсь, сможем позднее рассказать о CommonMagic больше», — комментирует Леонид Безвершенко, эксперт по кибербезопасности в «Лаборатории Касперского».