MagicWeb Malware som används av NOBELIUM APT
Microsofts Threat Intelligence Center publicerade en rapport om en ny skadlig programvara associerad med en rysktalande avancerad ihållande hotaktör känd under aliasen APT29, Cozy Bear och, under Microsofts egen beteckning, under namnet NOBELIUM.
Det nya verktyget som används av NOBELIUM heter MagicWeb och enligt rapporten verkar det vara en utveckling av en äldre skadlig programvara som används av skådespelaren, vid namn FoggyWeb. Båda delarna av skadlig programvara riktar sig till Active Directory Federation Services (AD FS)-plattformar och är avsedda som verktygssatser efter kompromiss.
Den nya skadliga programvaran MagicWeb använder en legitim DLL som tillhör AD FS-plattformen och ersätter den med en skadlig version. Detta tillåter modifiering av autentiseringscertifikat och tokens som systemet genererar.
När den skadliga DLL-filen är på plats kan hotaktören autentisera sig som praktiskt taget vilken användare som helst på den komprometterade AD FS-instansen. Men för att implantera den skadliga DLL-filen i första hand måste hackarna få förhöjd behörighet till servern, vanligtvis genom ett administratörskonto.
Microsoft tillhandahöll inte en omfattande lista med indikatorer på kompromiss, eftersom NOBELIUM är känt för att anpassa sin infrastruktur och de särskilda "attributen" för varje attack.