Злоумышленники, ответственные за атаку на цепочку поставок SolarWinds, стали использовать новое вредоносное ПО MagicWeb для посткомпрометации, которое используется для поддержания постоянного доступа к скомпрометированной среде и совершения бокового перемещения.
Исследователи из Microsoft обнаружили , как APT-группа Nobelium использует бэкдор после получения прав администратора на сервере Active Directory Federated Services (AD FS). При таком привилегированном доступе злоумышленники заменяют законную DLL-библиотеку вредоносной DLL-библиотекой MagicWeb. При этом вредоносное ПО загружается на сервере AD FS как легитимное ПО.
Как и контроллеры домена, серверы AD FS могут аутентифицировать пользователей. MagicWeb облегчает авторизацию для злоумышленников, позволяя манипулировать утверждениями в маркерах аутентификации AD FS. Так хакеры могут аутентифицироваться в сети.
По словам Microsoft, MagicWeb является улучшенной итерацией ранее использовавшегося специализированного инструмента FoggyWeb, который также обеспечивает прочный плацдарм внутри сетей жертв.
MagicWeb превосходит возможности FoggyWeb по сбору данных, облегчая прямой скрытый доступ, пишут в Securitylab. Он манипулирует сертификатами аутентификации пользователя для авторизации, а не сертификатами подписи, используемыми в атаках по типу Golden SAML .
Согласно бюллетеню Microsoft, на данный момент использование MagicWeb является весьма целенаправленным. На данный момент о жертвах нового ПО не сообщается.