MagicWeb est le nom d'une nouvelle post-exploitation (post-compromis) outil découvert et détaillé par les chercheurs en sécurité de Microsoft. L'outil est attribué au Nobelium APT (Advanced Persistent Threat) groupe qui l'utilise pour maintenir un accès persistant aux systèmes compromis.
Ce groupe de menaces cible activement le gouvernement, organisations non gouvernementales et intergouvernementales, ainsi que des remerciements à travers les États-Unis, Europe, et Asie centrale.
Logiciel malveillant post-exploitation MagicWeb découvert par Microsoft
Les chercheurs de Microsoft pensent que MagicWeb a été déployé lors d'une attaque en cours par Nobelium afin "de maintenir l'accès pendant les étapes de remédiation stratégiques qui pourraient empêcher l'expulsion". Cet acteur malveillant est connu pour exploiter les identités et l'accès via des informations d'identification volées dans le but de maintenir la persistance. MagicWeb est une capacité attendue ajoutée à l'arsenal d'outils des attaquants.
L'année dernière, Microsoft a révélé un autre outil de post-exploitation possédé par l'acteur de la menace Nobelium. Appelé Web brumeux, la porte dérobée post-exploit a été exploitée dans des opérations malveillantes pour maintenir la persistance. Décrit comme « passif » et « très ciblé," FoggyWeb était également équipé de capacités sophistiquées d'exfiltration de données ainsi que de la possibilité de télécharger et d'exécuter des composants supplémentaires..
En termes de capacités de collecte de données, MagicWeb "va au-delà" de la capacité de FoggyWeb, car il peut faciliter l'accès secret directement. Le malware est une DLL malveillante permettant des manipulations des revendications passées dans les tokens générés par un Active Directory Federated Services (AD FS) serveur. MagicWeb "manipule les certificats d'authentification des utilisateurs utilisés pour l'authentification, pas les certificats de signature utilisés dans les attaques comme Golden SAML," Microsoft a ajouté.
Il convient également de noter que MagicWeb ne peut être déployé qu'après avoir obtenu un accès hautement privilégié à un environnement, puis déplacé latéralement vers un serveur AD FS.. Pour atteindre ce but, l'auteur de la menace a créé une DLL de porte dérobée en copiant le fichier légitime Microsoft.IdentityServer.Diagnostics.dll utilisé dans les opérations AD FS.
"La version légitime de ce fichier est un catalogue signé par Microsoft et est normalement chargé par le serveur AD FS au démarrage pour fournir des capacités de débogage," Microsoft a expliqué. La version dérobée du fichier par l'acteur de la menace n'est pas signée. L'accès au serveur AD FS signifie que Nobelium aurait pu effectuer un certain nombre d'actions dans l'environnement compromis, mais ils ont spécifiquement opté pour un serveur AD FS pour leurs objectifs de persistance et de collecte d'informations.