Złośliwe oprogramowanie MagicWeb używane przez NOBELIUM APT

Centrum Wywiadu Zagrożeń Microsoftu opublikowało raport na temat nowego złośliwego oprogramowania związanego z rosyjskojęzycznym, zaawansowanym trwałym podmiotem atakującym znanym pod aliasami APT29, Cozy Bear i pod nazwą firmy Microsoft pod nazwą NOBELIUM.

Nowe narzędzie używane przez NOBELIUM nazywa się MagicWeb i według raportu wydaje się być ewolucją starszego złośliwego oprogramowania używanego przez aktora, nazwanego FoggyWeb. Oba rodzaje złośliwego oprogramowania są skierowane do platform Active Directory Federation Services (AD FS) i są przeznaczone jako zestawy narzędzi do utrwalania po naruszeniu bezpieczeństwa.

Nowe złośliwe oprogramowanie MagicWeb wykorzystuje legalną bibliotekę DLL należącą do platformy AD FS i zastępuje ją złośliwą wersją. Pozwala to na modyfikację certyfikatów uwierzytelniających i tokenów generowanych przez system.

Gdy złośliwa biblioteka DLL jest już na miejscu, aktor zagrożenia może uwierzytelnić się jako praktycznie każdy użytkownik w zaatakowanym wystąpieniu programu AD FS. Jednak, aby w pierwszej kolejności wszczepić złośliwą bibliotekę DLL, hakerzy muszą uzyskać dostęp do serwera z podwyższonymi uprawnieniami, zwykle za pośrednictwem konta administratora.

Microsoft nie dostarczył obszernej listy wskaźników naruszenia bezpieczeństwa, ponieważ NOBELIUM słynie z dostosowywania swojej infrastruktury i poszczególnych „atrybutów” każdego ataku.