„MagicWeb“ kenkėjiška programa, kurią naudoja NOBELIUM APT
„Microsoft“ grėsmių žvalgybos centras paskelbė ataskaitą apie naują kenkėjišką programinę įrangą, susietą su rusakalbiu pažangiu nuolatinės grėsmės veikėju, žinomu slapyvardžiais APT29, Cozy Bear ir pačios „Microsoft“ pavadinimu NOBELIUM.
Naujasis NOBELIUM naudojamas įrankis vadinamas MagicWeb ir, remiantis ataskaita, atrodo, kad tai senesnės kenkėjiškos programos, pavadintos FoggyWeb, evoliucija, kurią naudoja aktorius. Abi kenkėjiškos programos yra skirtos „Active Directory Federation Services“ (AD FS) platformoms ir yra skirtos kaip išlikimo įrankių rinkiniai po kompromiso.
Naujoji MagicWeb kenkėjiška programa naudoja teisėtą DLL, priklausančią AD FS platformai, ir pakeičia ją kenkėjiška versija. Tai leidžia modifikuoti sistemos generuojamus autentifikavimo sertifikatus ir prieigos raktus.
Kai kenkėjiškas DLL yra vietoje, grėsmės veikėjas gali autentifikuotis kaip praktiškai bet kuris vartotojas pažeistame AD FS egzemplioriuje. Tačiau norėdami įdiegti kenkėjišką DLL, įsilaužėliai turi gauti padidintas privilegijas prie serverio, paprastai per administratoriaus paskyrą.
„Microsoft“ nepateikė plataus kompromiso rodiklių sąrašo, nes NOBELIUM yra žinomas dėl savo infrastruktūros pritaikymo ir konkrečių kiekvienos atakos „atributų“.