MagicWeb is de naam van een nieuwe post-exploitatie (post-compromis) tool ontdekt en gedetailleerd door Microsoft-beveiligingsonderzoekers. De tool wordt toegeschreven aan de Nobelium APT (advanced persistent threat) groep die het gebruikt om blijvende toegang tot gecompromitteerde systemen te behouden.
Deze dreigingsgroep richt zich actief op de overheid, niet-gouvernementele en intergouvernementele organisaties, en denk ook bedankt in de Verenigde Staten, Europa, en Centraal-Azië.
MagicWeb Post-Exploitation Malware ontdekt door Microsoft
Microsoft-onderzoekers zijn van mening dat MagicWeb werd ingezet tijdens een voortdurende aanval door Nobelium om "toegang te behouden tijdens strategische herstelstappen die uitzetting zouden kunnen voorkomen". Van deze dreigingsactor is bekend dat hij identiteiten en toegang via gestolen inloggegevens misbruikt om persistentie te behouden. MagicWeb is een verwachte mogelijkheid die wordt toegevoegd aan het arsenaal aan tools van de aanvallers.
Vorig jaar, Microsoft heeft nog een post-exploitatietool onthuld die in het bezit is van de Nobelium-dreigingsactor. Gebeld MistigWeb, de post-exploit backdoor werd gebruikt bij kwaadaardige operaties om volharding te behouden. Beschreven als "passief" en "zeer gericht",” FoggyWeb was ook uitgerust met geavanceerde mogelijkheden voor gegevensexfiltratie en de mogelijkheid om extra componenten te downloaden en uit te voeren.
In termen van mogelijkheden voor gegevensverzameling, MagicWeb "gaat verder dan" FoggyWeb's capaciteit, omdat het geheime toegang direct kan vergemakkelijken. De malware is een kwaadaardige DLL die manipulatie mogelijk maakt van de claims die zijn doorgegeven in tokens die zijn gegenereerd door een Active Directory Federated Services (AD FS) server. MagicWeb "manipuleert de gebruikersauthenticatiecertificaten die worden gebruikt voor authenticatie, niet de ondertekeningscertificaten die worden gebruikt bij aanvallen zoals Golden SAML,"Microsoft toegevoegd.
Het is ook opmerkelijk dat MagicWeb alleen kan worden geïmplementeerd na het verkrijgen van zeer bevoorrechte toegang tot een omgeving en vervolgens zijdelings naar een AD FS-server te gaan. Om dit doel te bereiken, de dreigingsactor heeft een backdoor-DLL gemaakt door het legitieme bestand Microsoft.IdentityServer.Diagnostics.dll te kopiëren dat wordt gebruikt in AD FS-bewerkingen.
“De legitieme versie van dit bestand is een catalogus die is ondertekend door Microsoft en wordt normaal gesproken bij het opstarten door de AD FS-server geladen om foutopsporingsmogelijkheden te bieden," Microsoft verklaarde. De backdoor-versie van het bestand met de dreigingsactor is niet ondertekend. De toegang tot de AD FS-server betekent dat Nobelium een willekeurig aantal acties had kunnen uitvoeren in de gecompromitteerde omgeving, maar ze gingen specifiek voor een AD FS-server voor hun doelen van persistentie en informatieverzameling.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: