MagicWeb è il nome di un nuovo post-sfruttamento (post-compromesso) strumento scoperto e dettagliato dai ricercatori di sicurezza di Microsoft. Lo strumento è attribuito al Nobelium APT (avanzata persistente minaccia) gruppo che lo utilizza per mantenere l'accesso persistente ai sistemi compromessi.
Questo gruppo di minacce ha preso di mira attivamente il governo, organizzazioni non governative e intergovernative, oltre a ringraziare in tutti gli Stati Uniti, Europa, e Asia centrale.
Malware post-sfruttamento MagicWeb scoperto da Microsoft
I ricercatori Microsoft ritengono che MagicWeb sia stato implementato durante un attacco in corso da parte di Nobelium al fine di "mantenere l'accesso durante le fasi di riparazione strategica che potrebbero impedire lo sfratto". Questo attore di minacce è noto per sfruttare le identità e l'accesso tramite credenziali rubate allo scopo di mantenere la persistenza. MagicWeb è una funzionalità prevista aggiunta all'arsenale di strumenti degli aggressori.
L'anno scorso, Microsoft ha rivelato un altro strumento post-sfruttamento posseduto dall'attore della minaccia Nobelium. Chiamato FoggyWeb, la backdoor post-exploit è stata sfruttata in operazioni dannose per mantenere la persistenza. Descritto come “passivo” e “altamente mirato,FoggyWeb è stato inoltre dotato di sofisticate capacità di esfiltrazione dei dati, nonché della possibilità di scaricare ed eseguire componenti aggiuntivi.
In termini di capacità di raccolta dati, MagicWeb “va oltre” le capacità di FoggyWeb, in quanto può facilitare direttamente l'accesso nascosto. Il malware è una DLL dannosa che consente la manipolazione delle attestazioni passate nei token generati da Active Directory Federated Services (AD FS) server. MagicWeb “manipola i certificati di autenticazione utente utilizzati per l'autenticazione, non i certificati di firma utilizzati in attacchi come Golden SAML,” ha aggiunto Microsoft.
È anche interessante notare che MagicWeb può essere distribuito solo dopo aver ottenuto un accesso altamente privilegiato a un ambiente e quindi spostandosi lateralmente su un server AD FS. Per raggiungere questo scopo, l'attore della minaccia ha creato una DLL backdoor copiando il file Microsoft.IdentityServer.Diagnostics.dll legittimo utilizzato nelle operazioni di AD FS.
"La versione legittima di questo file è il catalogo firmato da Microsoft e viene normalmente caricata dal server AD FS all'avvio per fornire funzionalità di debug," Microsoft ha spiegato. La versione backdoor del file dell'attore delle minacce non è firmata. L'accesso al server AD FS significa che Nobelium potrebbe aver eseguito un numero qualsiasi di azioni nell'ambiente compromesso, ma hanno scelto specificamente un server AD FS per i loro obiettivi di persistenza e raccolta di informazioni.