MagicWeb Malware Brugt af NOBELIUM APT
Microsofts Threat Intelligence Center udgav en rapport om et nyt stykke malware forbundet med en russisktalende avanceret persistent trussel aktør kendt under aliaserne APT29, Cozy Bear og, under Microsofts egen betegnelse, under navnet NOBELIUM.
Det nye værktøj, der bruges af NOBELIUM, hedder MagicWeb, og ifølge rapporten ser det ud til at være en udvikling af en ældre malware, der blev brugt af skuespilleren, ved navn FoggyWeb. Begge dele af malware er rettet mod Active Directory Federation Services (AD FS) platforme og er tænkt som post-kompromis persistens værktøjssæt.
Den nye MagicWeb malware bruger en legitim DLL, der tilhører AD FS platformen og erstatter den med en ondsindet version. Dette tillader ændring af godkendelsescertifikater og tokens, som systemet genererer.
Når den ondsindede DLL er på plads, kan trusselsaktøren autentificere som praktisk talt enhver bruger på den kompromitterede AD FS-instans. Men for at implantere den ondsindede DLL i første omgang, er hackerne nødt til at få forhøjet privilegeret adgang til serveren, normalt gennem en administratorkonto.
Microsoft leverede ikke en omfattende liste over indikatorer for kompromis, da NOBELIUM er kendt for at tilpasse sin infrastruktur og de særlige "attributter" for hvert angreb.
