Вредоносное ПО MagicWeb, используемое NOBELIUM APT

Центр Microsoft Threat Intelligence Center опубликовал отчет о новой вредоносной программе, связанной с русскоязычной продвинутой постоянной угрозой, известной под псевдонимами APT29, Cozy Bear и, под собственным обозначением Microsoft, под именем NOBELIUM.

Новый инструмент, используемый NOBELIUM, называется MagicWeb и, согласно отчету, представляет собой эволюцию старой вредоносной программы, используемой актером, под названием FoggyWeb. Обе части вредоносных программ нацелены на платформы служб федерации Active Directory (AD FS) и предназначены для использования в качестве наборов инструментов сохранения после компрометации.

Новое вредоносное ПО MagicWeb использует законную DLL, принадлежащую платформе AD FS, и заменяет ее вредоносной версией. Это позволяет модифицировать сертификаты аутентификации и токены, генерируемые системой.

После установки вредоносной библиотеки DLL субъект угрозы может аутентифицироваться практически как любой пользователь в скомпрометированном экземпляре AD FS. Однако, прежде всего, чтобы внедрить вредоносную DLL, хакерам необходимо получить доступ к серверу с повышенными привилегиями, обычно через учетную запись администратора.

Microsoft не предоставила обширный список индикаторов компрометации, поскольку NOBELIUM известен тем, что настраивает свою инфраструктуру и конкретные «атрибуты» каждой атаки.