MagicWeb é o nome de uma nova pós-exploração (pós-compromisso) ferramenta descoberta e detalhada por pesquisadores de segurança da Microsoft. A ferramenta é atribuída ao Nobelium APT (Ameaça persistente avançada) grupo que o usa para manter acesso persistente a sistemas comprometidos.
Este grupo de ameaças tem como alvo ativamente o governo, organizações não governamentais e intergovernamentais, além de agradecer em todos os Estados Unidos, Europa, e Ásia Central.
Malware pós-exploração MagicWeb descoberto pela Microsoft
Os pesquisadores da Microsoft acreditam que o MagicWeb foi implantado durante um ataque em andamento da Nobelium para “manter o acesso durante as etapas de remediação estratégica que poderiam impedir o despejo”. Esse agente de ameaças é conhecido por explorar identidades e acesso por meio de credenciais roubadas com o objetivo de manter a persistência. MagicWeb é um recurso esperado adicionado ao arsenal de ferramentas dos invasores.
Ano passado, A Microsoft revelou outra ferramenta de pós-exploração possuída pelo ator da ameaça Nobelium. Chamado FoggyWeb, o backdoor pós-exploração foi aproveitado em operações maliciosas para manter a persistência. Descrito como “passivo” e “altamente direcionado,” O FoggyWeb também foi equipado com recursos sofisticados de exfiltração de dados, bem como a capacidade de baixar e executar componentes adicionais.
Em termos de recursos de coleta de dados, MagicWeb “vai além” da capacidade do FoggyWeb, pois pode facilitar o acesso secreto diretamente. O malware é uma DLL maliciosa que permite a manipulação das declarações passadas em tokens gerados por um Active Directory Federated Services (AD FS) servidor. MagicWeb “manipula os certificados de autenticação do usuário usados para autenticação, não os certificados de assinatura usados em ataques como Golden SAML,” Microsoft adicionou.
Também vale ressaltar que o MagicWeb pode ser implantado somente após obter acesso altamente privilegiado a um ambiente e, em seguida, mover-se lateralmente para um servidor AD FS. Para atingir este propósito, o agente da ameaça criou uma DLL de backdoor copiando o arquivo legítimo Microsoft.IdentityServer.Diagnostics.dll usado nas operações do AD FS.
“A versão legítima deste arquivo é um catálogo assinado pela Microsoft e normalmente é carregado pelo servidor AD FS na inicialização para fornecer recursos de depuração,” Microsoft explicou. A versão de backdoor do agente de ameaças do arquivo não está assinada. O acesso ao servidor AD FS significa que a Nobelium poderia ter realizado qualquer número de ações no ambiente comprometido, mas eles foram especificamente para um servidor AD FS para seus objetivos de persistência e coleta de informações.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: