Malware MagicWeb utilizado por NOBELIUM APT
El Centro de Inteligencia de Amenazas de Microsoft publicó un informe sobre una nueva pieza de malware asociada con un actor de amenazas persistente avanzado de habla rusa conocido bajo los alias APT29, Cozy Bear y, bajo la designación propia de Microsoft, bajo el nombre NOBELIUM.
La nueva herramienta utilizada por NOBELIUM se llama MagicWeb y, según el informe, parece ser una evolución de un malware anterior utilizado por el actor, llamado FoggyWeb. Ambas piezas de malware tienen como objetivo las plataformas de Servicios de federación de Active Directory (AD FS) y están pensadas como kits de herramientas de persistencia posteriores al compromiso.
El nuevo malware MagicWeb usa una DLL legítima que pertenece a la plataforma AD FS y la reemplaza con una versión maliciosa. Esto permite la modificación de certificados de autenticación y tokens que genera el sistema.
Una vez que la DLL maliciosa está en su lugar, el actor de amenazas puede autenticarse como prácticamente cualquier usuario en la instancia de AD FS comprometida. Sin embargo, para implantar la DLL maliciosa en primer lugar, los piratas informáticos deben obtener acceso con privilegios elevados al servidor, generalmente a través de una cuenta de administrador.
Microsoft no proporcionó una lista extensa de indicadores de compromiso, ya que NOBELIUM es conocido por personalizar su infraestructura y los "atributos" particulares de cada ataque.