Malware MagicWeb Usado por NOBELIUM APT

O Threat Intelligence Center da Microsoft publicou um relatório sobre um novo malware associado a um agente de ameaças persistentes avançado de língua russa conhecido sob os pseudônimos APT29, Cozy Bear e, sob a designação da própria Microsoft, sob o nome NOBELIUM.

A nova ferramenta usada pelo NOBELIUM chama-se MagicWeb e, segundo o relatório, parece ser uma evolução de um malware mais antigo usado pelo ator, chamado FoggyWeb. Ambos os malwares têm como alvo as plataformas dos Serviços de Federação do Active Directory (AD FS) e são concebidos como kits de ferramentas de persistência pós-comprometimento.

O novo malware MagicWeb usa uma DLL legítima que pertence à plataforma AD FS e a substitui por uma versão maliciosa. Isso permite a modificação de certificados e tokens de autenticação que o sistema gera.

Assim que a DLL maliciosa estiver em vigor, o agente da ameaça poderá autenticar como praticamente qualquer usuário na instância do AD FS comprometida. No entanto, para implantar a DLL maliciosa em primeiro lugar, os hackers precisam obter acesso com privilégios elevados ao servidor, geralmente por meio de uma conta de administrador.

A Microsoft não forneceu uma extensa lista de indicadores de comprometimento, pois a NOBELIUM é conhecida por personalizar sua infraestrutura e os "atributos" específicos de cada ataque.