MagicWeb Malware A NOBELIUM APT által használt
A Microsoft Threat Intelligence Center jelentést tett közzé egy új rosszindulatú programról, amely egy oroszul beszélő fejlett perzisztens fenyegetést okozó szereplőhöz kapcsolódott, amely APT29, Cozy Bear és a Microsoft saját megnevezése alatt NOBELIUM néven ismert.
A NOBELIUM által használt új eszköz a MagicWeb, és a jelentés szerint a színész által használt régebbi rosszindulatú program, a FoggyWeb továbbfejlesztése. Mindkét rosszindulatú program az Active Directory Federation Services (AD FS) platformokat célozza meg, és a kompromittálódás utáni megmaradási eszközkészletnek készült.
Az új MagicWeb rosszindulatú program egy legitim DLL-t használ, amely az AD FS platformhoz tartozik, és lecseréli egy rosszindulatú verzióra. Ez lehetővé teszi a rendszer által generált hitelesítési tanúsítványok és tokenek módosítását.
Amint a rosszindulatú DLL a helyén van, a fenyegetés szereplője gyakorlatilag bármely felhasználóként hitelesítheti magát a feltört AD FS-példányon. A rosszindulatú DLL beültetéséhez azonban a hackereknek magasabb szintű hozzáférést kell kapniuk a szerverhez, általában rendszergazdai fiókon keresztül.
A Microsoft nem közölt egy kiterjedt listát a kompromisszum indikátorairól, mivel a NOBELIUM az infrastruktúra testreszabásáról és az egyes támadások sajátos "attribútumairól" ismert.