A Microsoft descobriu um novo malware usado pelo grupo de hackers russo APT29 — também conhecido como Nobelium e Cozy Bear — que permite a autenticação de qualquer pessoa em uma rede comprometida. Como um agente de ciberespionagem patrocinado pelo governo russo, o grupo emprega um novo recurso para ocultar sua presença nas redes de seus alvos, geralmente organizações governamentais e críticas em toda a Europa, EUA e Ásia.
Apelidada de MagicWeb, a nova ferramenta maliciosa é uma evolução do FoggyWeb, que permitiu que hackers extraíssem o banco de dados de configuração de servidores Active Directory Federation Services (ADFS) comprometidos, descriptografando certificados de assinatura de token e descriptografia de token e buscassem cargas adicionais do servidor de comando e controle (C&C).
Segundo a Microsoft, o ADFS depende da autenticação baseada em declarações para validar a identidade do usuário e suas declarações de autorização. Essas declarações são empacotadas em um token que pode ser usado para autenticação. O MagicWeb se injeta no processo de declarações para realizar ações maliciosas fora das funções normais de um servidor ADFS.
O malware MagicWeb substitui uma DLL legítima usada pelo ADFS por uma versão maliciosa para manipular certificados de autenticação de usuários e modificar declarações passadas em tokens gerados pelo servidor comprometido. Como os servidores ADFS facilitam a autenticação do usuário, o malware ajuda o APT29 a validar a autenticação para qualquer conta de usuário nesse servidor, dando-lhes persistência e uma abundância de oportunidades.
Veja isso
LockBit usa Windows Defender para instalar o Cobalt Strike
Novo ransomware mira servidores Windows e Linux VMware ESXi
O MagicWeb exige que o APT29 primeiro obtenha acesso de administrador ao servidor ADFS de destino e substitua a referida DLL por sua versão, mas a Microsoft relata que isso já aconteceu em ao menos um caso em que sua equipe de detecção e resposta (DART) foi chamada para investigar.
Características do MagicWeb
A Microsoft observou que o Nobelium substituiu o “Microsoft.IdentityServer.Diagnostics.dll” por uma versão backdoor que apresenta uma seção adicional na classe “TraceLog”. Essa nova seção é um construtor estático executado uma vez durante o carregamento da DLL ao iniciar o servidor ADFS. O objetivo do construtor é conectar quatro funções ADFS legítimas, a saber:
>> Build – subverte o processo normal de inspeção/compilação de certificados introduzindo um método personalizado antes de ser invocado antes de “Build()”.
>> GetClientCertificate – força o aplicativo a aceitar um certificado de cliente inválido como válido, desde que o valor OID corresponda a um dos valores MD5 codificados no MagicWeb;
>> EndpointConfiguration – permite que o WAP passe a solicitação com o certificado malicioso específico para o ADFS para processamento de autenticação adicional;. ProcessClaims – certifica-se de que as declarações fraudulentas com o valor MagicWeb OID sejam adicionadas à lista de declarações retornadas ao chamador do método de gancho legítimo (ProcessClaims).