A Microsoft descobriu um novo malware usado pelo grupo de hackers russo APT29 (também conhecido como NOBELIUM, Cozy Bear) que permite a autenticação como qualquer pessoa em uma rede comprometida.
Como o grupo de hackers APT29 emprega a nova capacidade de esconder sua presença nas redes de seus alvos, tipicamente organizações governamentais e críticas em toda a Europa, EUA e Ásia.
Apelidada de MagicWeb, a nova ferramenta maliciosa é uma evolução do FoggyWeb, que permitiu que hackers exfiltrassem o banco de dados de configuração de servidores ADFS (Active Directory Federation Services, Serviços de Federação do Active Directory) comprometidos, descriptografar certificados de assinatura de token, descriptografia de tokens, buscar cargas adicionais do servidor de comando e controle (C2).
O AD FS conta com a autenticação baseada em sinistros para validar a identidade do usuário e suas reivindicações de autorização. Essas reivindicações são embaladas em um token que pode ser usado para autenticação. MagicWeb injeta-se no processo de sinistros para executar ações maliciosas fora das funções normais de um servidor AD FS. – Microsoft
A ferramenta MagicWeb substitui um DLL legítimo usado pelo ADFS por uma versão maliciosa para manipular certificados de autenticação do usuário e modificar reivindicações passadas em tokens gerados pelo servidor comprometido.
Como os servidores ADFS facilitam a autenticação do usuário, o MagicWeb pode ajudar o APT29 a validar a autenticação para qualquer conta de usuário nesse servidor, dando-lhes persistência e uma abundância de oportunidades pivotantes.
A MagicWeb exige que o APT29 primeiro obtenha acesso administrativo ao servidor ADFS alvo e substitua o referido DLL por sua versão, mas a Microsoft informa que isso já aconteceu em pelo menos um caso em que sua equipe de Detecção e Resposta (DART) foi chamada para investigar.
Detalhes da MagicWeb
A Microsoft observou que o NOBELIUM substitui o “Microsoft.IdentityServer.Diagnostics.dll” por uma versão backdoored que apresenta uma seção adicional na classe ‘TraceLog’.
Esta nova seção é uma construtora estática executada uma vez durante o carregamento do DLL ao iniciar o servidor ADFS.
O objetivo do construtor é enganchar quatro funções legítimas do ADFS, como “Build”, “GetClientCertificate”, “EndpointConfiguration” e “ProcessClaims”.
As funções fisgadas permitem que os hackers russos executem as seguintes ações:
- BeginBuild() – Permite que o invasor subverta o processo normal de inspeção/construção de certificados, introduzindo um método personalizado de inspeção/construção de certificados invocado antes que o método legítimo build() seja invocado.
- BeginGetClientCertificate() – Forçar o aplicativo a aceitar um certificado de cliente não válido como válido, desde que o valor OID corresponda a qualquer um dos valores MD5 codificados no MagicWeb.
- StartEndpointConfiguration() – Permitir que o WAP passe a solicitação com o certificado malicioso específico para a ADFS para processamento adicional de autenticação.
- BeginProcessClaims() – Certifique-se de que as reclamações fraudulentas com o valor OID do MagicWeb sejam adicionadas à lista de reclamações devolvidas ao chamador do método legítimo fisgado (ProcessClaims).
Caçando MagicWeb
A Microsoft recomenda que os defensores sigam as orientações de caça fornecidas no relatório. Os indicadores de compromisso (IoCs) não foram compartilhados, pois não seriam muito úteis.
O NOBELIUM frequentemente personaliza a infraestrutura e os recursos por campanha, minimizando o risco operacional caso seus atributos específicos de campanha sejam descobertos.
“Se o MagicWeb for identificado em seu ambiente, é improvável que corresponda a quaisquer IOCs estáticos de outros alvos, como um valor SHA-256”, acrescenta a empresa.
Além disso, a busca por DLLs não assinados no GAC (Global Assembly Cache) usando o Microsoft 365 Defender ou enumerando DLLs não-Microsoft assinados no GAC via PowerShell, poderia ajudar a desenterrar substituições maliciosas da biblioteca.