Logiciel malveillant MagicWeb utilisé par NOBELIUM APT
Le Threat Intelligence Center de Microsoft a publié un rapport sur un nouveau malware associé à un acteur menaçant persistant avancé russophone connu sous les alias APT29, Cozy Bear et, sous la propre désignation de Microsoft, sous le nom de NOBELIUM.
Le nouvel outil utilisé par NOBELIUM s'appelle MagicWeb et, selon le rapport, semble être une évolution d'un ancien malware utilisé par l'acteur, nommé FoggyWeb. Les deux logiciels malveillants ciblent les plates-formes AD FS (Active Directory Federation Services) et sont conçus comme des kits d'outils de persistance post-compromis.
Le nouveau malware MagicWeb utilise une DLL légitime qui appartient à la plate-forme AD FS et la remplace par une version malveillante. Cela permet la modification des certificats d'authentification et des jetons que le système génère.
Une fois la DLL malveillante en place, l'auteur de la menace peut s'authentifier comme pratiquement n'importe quel utilisateur sur l'instance AD FS compromise. Cependant, pour implanter la DLL malveillante en premier lieu, les pirates doivent obtenir un accès privilégié au serveur, généralement via un compte administrateur.
Microsoft n'a pas fourni de liste exhaustive d'indicateurs de compromission, car NOBELIUM est connu pour personnaliser son infrastructure et les "attributs" particuliers de chaque attaque.