MagicWeb ist der Name einer neuen Post-Exploitation (Post-Kompromiss) Tool, das von Microsoft-Sicherheitsforschern entdeckt und detailliert wurde. Das Tool wird dem Nobelium APT zugeschrieben (Advanced Persistent Threat) Gruppe, die es verwendet, um dauerhaften Zugriff auf kompromittierte Systeme aufrechtzuerhalten.
Diese Bedrohungsgruppe hat die Regierung aktiv ins Visier genommen, nichtstaatliche und zwischenstaatliche Organisationen, sowie danke in den Vereinigten Staaten denken, Europa, und Zentralasien.
MagicWeb Post-Exploitation Malware von Microsoft entdeckt
Microsoft-Forscher glauben, dass MagicWeb während eines laufenden Angriffs von Nobelium eingesetzt wurde, um „den Zugang während strategischer Abhilfemaßnahmen aufrechtzuerhalten, die einer Räumung zuvorkommen könnten“. Es ist bekannt, dass dieser Bedrohungsakteur Identitäten und Zugriffe über gestohlene Anmeldeinformationen ausnutzt, um die Persistenz aufrechtzuerhalten. MagicWeb ist eine erwartete Funktion, die dem Werkzeugarsenal der Angreifer hinzugefügt wird.
Letztes Jahr, Microsoft enthüllte ein weiteres Post-Exploitation-Tool im Besitz des Nobelium-Bedrohungsakteurs. Namens Nebelweb, Die Post-Exploit-Hintertür wurde in böswilligen Operationen genutzt, um die Persistenz aufrechtzuerhalten. Beschrieben als „passiv“ und „sehr zielgerichtet“.,„FoggyWeb war außerdem mit ausgeklügelten Datenexfiltrationsfunktionen ausgestattet sowie mit der Möglichkeit, zusätzliche Komponenten herunterzuladen und auszuführen.
In Bezug auf die Datenerfassungsfähigkeiten, MagicWeb geht über die Kapazität von FoggyWeb hinaus, da es den verdeckten Zugang direkt erleichtern kann. Die Malware ist eine bösartige DLL, die Manipulationen der Ansprüche ermöglicht, die in Token übergeben werden, die von Active Directory Federated Services generiert werden (AD FS) Server. MagicWeb „manipuliert die für die Authentifizierung verwendeten Benutzerauthentifizierungszertifikate, nicht die Signaturzertifikate, die bei Angriffen wie Golden SAML verwendet werden,“ fügte Microsoft hinzu.
Es ist auch bemerkenswert, dass MagicWeb nur bereitgestellt werden kann, nachdem hochprivilegierter Zugriff auf eine Umgebung erlangt und dann seitlich auf einen AD FS-Server verschoben wurde. Um diesen Zweck zu erreichen, Der Angreifer hat eine Backdoor-DLL erstellt, indem er die legitime Microsoft.IdentityServer.Diagnostics.dll-Datei kopiert hat, die in AD FS-Vorgängen verwendet wird.
„Die legitime Version dieser Datei ist ein von Microsoft signierter Katalog und wird normalerweise beim Start vom AD FS-Server geladen, um Debugging-Funktionen bereitzustellen," Microsoft erklärt. Die Backdoor-Version der Datei des Bedrohungsakteurs ist unsigniert. Der Zugriff auf den AD FS-Server bedeutet, dass Nobelium eine beliebige Anzahl von Aktionen in der kompromittierten Umgebung hätte ausführen können, aber sie entschieden sich speziell für einen AD FS-Server für ihre Ziele der Persistenz und Informationssammlung.