MagicWeb is de naam van een nieuwe post-exploitatie (post-compromis) tool ontdekt en gedetailleerd door Microsoft-beveiligingsonderzoekers. De tool wordt toegeschreven aan de Nobelium APT (advanced persistent threat) groep die het gebruikt om blijvende toegang tot gecompromitteerde systemen te behouden.
Deze dreigingsgroep richt zich actief op de overheid, niet-gouvernementele en intergouvernementele organisaties, en denk ook bedankt in de Verenigde Staten, Europa, en Centraal-Azië.
MagicWeb Post-Exploitation Malware ontdekt door Microsoft
Microsoft-onderzoekers zijn van mening dat MagicWeb werd ingezet tijdens een voortdurende aanval door Nobelium om "toegang te behouden tijdens strategische herstelstappen die uitzetting zouden kunnen voorkomen". Van deze dreigingsactor is bekend dat hij identiteiten en toegang via gestolen inloggegevens misbruikt om persistentie te behouden. MagicWeb is een verwachte mogelijkheid die wordt toegevoegd aan het arsenaal aan tools van de aanvallers.
Vorig jaar, Microsoft heeft nog een post-exploitatietool onthuld die in het bezit is van de Nobelium-dreigingsactor. Gebeld MistigWeb, de post-exploit backdoor werd gebruikt bij kwaadaardige operaties om volharding te behouden. Beschreven als "passief" en "zeer gericht",” FoggyWeb was ook uitgerust met geavanceerde mogelijkheden voor gegevensexfiltratie en de mogelijkheid om extra componenten te downloaden en uit te voeren.
In termen van mogelijkheden voor gegevensverzameling, MagicWeb "gaat verder dan" FoggyWeb's capaciteit, omdat het geheime toegang direct kan vergemakkelijken. De malware is een kwaadaardige DLL die manipulatie mogelijk maakt van de claims die zijn doorgegeven in tokens die zijn gegenereerd door een Active Directory Federated Services (AD FS) server. MagicWeb "manipuleert de gebruikersauthenticatiecertificaten die worden gebruikt voor authenticatie, niet de ondertekeningscertificaten die worden gebruikt bij aanvallen zoals Golden SAML,"Microsoft toegevoegd.
Het is ook opmerkelijk dat MagicWeb alleen kan worden geïmplementeerd na het verkrijgen van zeer bevoorrechte toegang tot een omgeving en vervolgens zijdelings naar een AD FS-server te gaan. Om dit doel te bereiken, de dreigingsactor heeft een backdoor-DLL gemaakt door het legitieme bestand Microsoft.IdentityServer.Diagnostics.dll te kopiëren dat wordt gebruikt in AD FS-bewerkingen.
“De legitieme versie van dit bestand is een catalogus die is ondertekend door Microsoft en wordt normaal gesproken bij het opstarten door de AD FS-server geladen om foutopsporingsmogelijkheden te bieden," Microsoft verklaarde. De backdoor-versie van het bestand met de dreigingsactor is niet ondertekend. De toegang tot de AD FS-server betekent dat Nobelium een willekeurig aantal acties had kunnen uitvoeren in de gecompromitteerde omgeving, maar ze gingen specifiek voor een AD FS-server voor hun doelen van persistentie en informatieverzameling.