MagicWeb Malware Brukt av NOBELIUM APT
Microsofts Threat Intelligence Center publiserte en rapport om et nytt stykke malware assosiert med en russisktalende avansert vedvarende trusselaktør kjent under aliasene APT29, Cozy Bear og, under Microsofts egen betegnelse, under navnet NOBELIUM.
Det nye verktøyet som brukes av NOBELIUM heter MagicWeb, og ifølge rapporten ser det ut til å være en utvikling av en eldre skadelig programvare brukt av skuespilleren, kalt FoggyWeb. Begge delene av skadelig programvare retter seg mot Active Directory Federation Services (AD FS)-plattformer og er ment som verktøysett for persistens etter kompromiss.
Den nye MagicWeb malware bruker en legitim DLL som tilhører AD FS-plattformen og erstatter den med en ondsinnet versjon. Dette tillater endring av autentiseringssertifikater og tokens som systemet genererer.
Når den ondsinnede DLL-filen er på plass, kan trusselaktøren autentisere seg som praktisk talt enhver bruker på den kompromitterte AD FS-forekomsten. Men for å implantere den ondsinnede DLL-filen i utgangspunktet, må hackerne få forhøyet rettighetstilgang til serveren, vanligvis gjennom en admin-konto.
Microsoft ga ikke en omfattende liste over indikatorer på kompromiss, ettersom NOBELIUM er kjent for å tilpasse sin infrastruktur og de spesielle "attributtene" til hvert angrep.