MagicWeb Malware gebruikt door NOBELIUM APT
Het Threat Intelligence Center van Microsoft heeft een rapport gepubliceerd over een nieuw stukje malware dat verband houdt met een Russisch sprekende geavanceerde persistente bedreigingsacteur die bekend staat onder de aliassen APT29, Cozy Bear en, onder de eigen aanduiding van Microsoft, onder de naam NOBELIUM.
De nieuwe tool die door NOBELIUM wordt gebruikt, heet MagicWeb en lijkt volgens het rapport een evolutie te zijn van een oudere malware die door de acteur wordt gebruikt, genaamd FoggyWeb. Beide stukjes malware zijn gericht op Active Directory Federation Services (AD FS)-platforms en zijn bedoeld als persistentie-toolkits na het compromitteren.
De nieuwe MagicWeb-malware gebruikt een legitieme DLL die bij het AD FS-platform hoort en vervangt deze door een kwaadaardige versie. Hierdoor kunnen authenticatiecertificaten en tokens die het systeem genereert, worden gewijzigd.
Zodra de kwaadaardige DLL aanwezig is, kan de dreigingsactor zich authenticeren als praktisch elke gebruiker op de gecompromitteerde AD FS-instantie. Om de kwaadaardige DLL in de eerste plaats te implanteren, moeten de hackers echter verhoogde privilege-toegang tot de server krijgen, meestal via een beheerdersaccount.
Microsoft heeft geen uitgebreide lijst met indicatoren van compromis verstrekt, aangezien NOBELIUM bekend staat om het aanpassen van zijn infrastructuur en de specifieke "kenmerken" van elke aanval.