MagicWeb er navnet på en ny post-udnyttelse (efter kompromis) værktøj opdaget og detaljeret af Microsofts sikkerhedsforskere. Værktøjet er tilskrevet Nobelium APT (avancerede vedvarende trussel) gruppe, der bruger det til at opretholde vedvarende adgang til kompromitterede systemer.
Denne trusselsgruppe har aktivt målrettet regeringen, ikke-statslige og mellemstatslige organisationer, samt tænk tak på tværs af USA, Europa, og Centralasien.
MagicWeb Post-Exploitation Malware opdaget af Microsoft
Microsoft-forskere mener, at MagicWeb blev implementeret under et igangværende angreb fra Nobelium for at "vedligeholde adgang under strategiske afhjælpningstrin, der kunne forhindre udsættelse." Denne trusselsaktør har været kendt for at udnytte identiteter og adgang via stjålne legitimationsoplysninger med det formål at opretholde persistens. MagicWeb er en forventet kapacitet tilføjet til angribernes arsenal af værktøjer.
Sidste år, Microsoft afslørede et andet post-udnyttelsesværktøj, som Nobelium-trusselsaktøren besad. Hedder FoggyWeb, bagdøren efter udnyttelse blev udnyttet i ondsindede operationer for at opretholde persistens. Beskrevet som "passiv" og "meget målrettet,” FoggyWeb var også udstyret med sofistikerede dataeksfiltreringsfunktioner samt muligheden for at downloade og udføre yderligere komponenter.
Med hensyn til dataindsamlingsmuligheder, MagicWeb "går ud over" FoggyWebs kapacitet, da det kan lette hemmelig adgang direkte. Malwaren er en ondsindet DLL, der tillader manipulationer af de krav, der sendes i tokens genereret af en Active Directory Federated Services (AD FS) server. MagicWeb "manipulerer de brugergodkendelsescertifikater, der bruges til godkendelse, ikke de signeringscertifikater, der bruges i angreb som Golden SAML," tilføjede Microsoft.
Det er også bemærkelsesværdigt, at MagicWeb kun kan implementeres efter at have opnået meget privilegeret adgang til et miljø og derefter flyttes sideværts til en AD FS-server. For at nå dette formål, trusselsaktøren oprettede en bagdørs DLL ved at kopiere den legitime Microsoft.IdentityServer.Diagnostics.dll-fil, der blev brugt i AD FS-operationer.
"Den legitime version af denne fil er katalogsigneret af Microsoft og indlæses normalt af AD FS-serveren ved opstart for at give fejlfindingsmuligheder," Microsoft forklarede. Trusselsaktørens bagdørsversion af filen er usigneret. Adgangen til AD FS-serveren betyder, at Nobelium kunne have udført et hvilket som helst antal handlinger i det kompromitterede miljø, men de gik specifikt efter en AD FS-server for deres mål om vedholdenhed og informationsindsamling.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: