MagicWeb Malware Verwendet von NOBELIUM APT
Das Threat Intelligence Center von Microsoft veröffentlichte einen Bericht über eine neue Malware, die mit einem russischsprachigen Advanced Persistent Threat Actor verbunden ist, der unter den Aliasnamen APT29, Cosy Bear und unter Microsofts eigener Bezeichnung unter dem Namen NOBELIUM bekannt ist.
Das neue von NOBELIUM verwendete Tool heißt MagicWeb und scheint dem Bericht zufolge eine Weiterentwicklung einer älteren Malware namens FoggyWeb zu sein, die vom Schauspieler verwendet wird. Beide Malware-Elemente zielen auf Active Directory Federation Services (AD FS)-Plattformen ab und sind als Persistenz-Toolkits nach Kompromittierung gedacht.
Die neue MagicWeb-Malware verwendet eine legitime DLL, die zur AD FS-Plattform gehört, und ersetzt sie durch eine bösartige Version. Dies ermöglicht die Änderung von Authentifizierungszertifikaten und Token, die das System generiert.
Sobald die bösartige DLL vorhanden ist, kann sich der Angreifer als praktisch jeder Benutzer auf der kompromittierten AD FS-Instanz authentifizieren. Um die bösartige DLL überhaupt zu implantieren, müssen die Hacker jedoch erhöhten Zugriff auf den Server erlangen, normalerweise über ein Administratorkonto.
Microsoft hat keine umfassende Liste von Kompromittierungsindikatoren bereitgestellt, da NOBELIUM dafür bekannt ist, seine Infrastruktur und die besonderen „Attribute“ jedes Angriffs anzupassen.