悪い魔法: ロシアとウクライナの紛争地域で発見された新しい APT from securelist.com

アーカイブには、次の 2 つのファイルが含まれていました。
潜在的な被害者が ZIP ファイルに含まれる LNK ファイルをアクティブ化すると、一連のイベントがトリガーされ、CommonMagic と名付けられたこれまでに見られなかった悪意のあるフレームワークでコンピューターが感染します。
悪意のある LNK は、Windows インストーラーの実行可能ファイルによってダウンロードおよび起動される、リモートでホストされている悪意のある MSI ファイルを指しています。
このファイルの内容は、バックドア PID と、ファイルが変更されるたびに 1 ずつ増加する番号で構成されます。
PowerMagic のすべての被害者は、CommonMagic と名付けられた、以前には見られなかった、より複雑なモジュール式の悪意のあるフレームワークにも感染していました。
このフレームワークは、PowerShell バックドアに最初に感染した後に展開されたため、CommonMagic は PowerMagic を介して展開されていると思われます。