MagicWeb es el nombre de una nueva posexplotación (post-compromiso) herramienta descubierta y detallada por investigadores de seguridad de Microsoft. La herramienta se atribuye al Nobelium APT. (amenaza persistente avanzada) grupo que lo utiliza para mantener el acceso persistente a los sistemas comprometidos.
Este grupo de amenazas ha estado apuntando activamente al gobierno, organizaciones no gubernamentales e intergubernamentales, así como pensar gracias a través de los Estados Unidos, Europa, y Asia Central.
Malware posterior a la explotación MagicWeb descubierto por Microsoft
Los investigadores de Microsoft creen que MagicWeb se implementó durante un ataque en curso de Nobelium para "mantener el acceso durante los pasos de remediación estratégicos que podrían evitar el desalojo". Se sabe que este actor de amenazas explota las identidades y el acceso a través de credenciales robadas con el fin de mantener la persistencia.. MagicWeb es una capacidad esperada añadida al arsenal de herramientas de los atacantes..
El año pasado, Microsoft reveló otra herramienta posterior a la explotación que posee el actor de amenazas Nobelium. Llamado FoggyWeb, la puerta trasera posterior a la explotación se aprovechó en operaciones maliciosas para mantener la persistencia. Descrito como "pasivo" y "altamente dirigido,FoggyWeb también estaba equipado con sofisticadas capacidades de exfiltración de datos, así como la capacidad de descargar y ejecutar componentes adicionales..
En términos de capacidades de recopilación de datos, MagicWeb "va más allá" de la capacidad de FoggyWeb, ya que puede facilitar el acceso encubierto directamente. El malware es una DLL maliciosa que permite la manipulación de las notificaciones pasadas en tokens generados por un servicio federado de Active Directory. (AD FS) servidor. MagicWeb “manipula los certificados de autenticación de usuario utilizados para la autenticación, no los certificados de firma utilizados en ataques como Golden SAML,Microsoft agregó.
También es digno de mención que MagicWeb se puede implementar solo después de obtener un acceso altamente privilegiado a un entorno y luego moverse lateralmente a un servidor AD FS.. Para lograr este propósito, el actor de la amenaza creó una DLL de puerta trasera al copiar el archivo Microsoft.IdentityServer.Diagnostics.dll legítimo que se usa en las operaciones de AD FS.
“La versión legítima de este archivo es un catálogo firmado por Microsoft y normalmente lo carga el servidor AD FS al inicio para proporcionar capacidades de depuración.," microsoft explicó. La versión de puerta trasera del actor de amenazas del archivo no está firmada. El acceso al servidor AD FS significa que Nobelium podría haber llevado a cabo cualquier cantidad de acciones en el entorno comprometido, pero optaron específicamente por un servidor AD FS para sus objetivos de persistencia y recopilación de información..