Microsoft ha scoperto un nuovo malware utilizzato dal gruppo di hacker russi APT29 (Cozy Bear) che consente l’autenticazione come chiunque in una rete compromessa.
In qualità di attore di cyber-spionaggio sponsorizzato dallo Stato, APT29 utilizza questa nuova funzionalità per nascondere la propria presenza nelle reti dei suoi obiettivi, in genere organizzazioni governative e critiche in Europa, Stati Uniti e Asia.
Denominato “MagicWeb”, il nuovo strumento dannoso è un’evoluzione di “FoggyWeb”, che consentiva agli hacker di esfiltrare il database di configurazione dei server Active Directory Federation Services (ADFS) compromessi, di decrittare i certificati di firma e di decrittazione dei token e di recuperare ulteriori payload dal server di comando e controllo (C2).
I sistemi degli sviluppatori di LastPass violati per rubare codice sorgente
AD FS si basa sull’autenticazione basata sulle richieste per convalidare l’identità dell’utente e le sue richieste di autorizzazione. Queste richieste vengono confezionate in un token che può essere utilizzato per l’autenticazione. MagicWeb si inietta nel processo di rivendicazione per eseguire azioni dannose al di fuori dei normali ruoli di un server AD FS. – Microsoft
Lo strumento “MagicWeb” sostituisce una DLL legittima utilizzata da ADFS con una versione dannosa per manipolare i certificati di autenticazione degli utenti e modificare le richieste passate nei token generati dal server compromesso.
Poiché i server ADFS facilitano l’autenticazione degli utenti, MagicWeb può aiutare l’APT29 a convalidare l’autenticazione per qualsiasi account utente su quel server, offrendo persistenza e abbondanza di opportunità di pivoting.
Processo di autenticazione ADFS
MagicWeb richiede che l’APT29 ottenga prima l’accesso come amministratore al server ADFS di destinazione e sostituisca la DLL in questione con la propria versione, ma Microsoft riferisce che ciò è già avvenuto in almeno un caso su cui il suo team Detection and Response Team (DART) è stato chiamato a indagare.
Microsoft ha osservato NOBELIUM sostituire la DLL “Microsoft.IdentityServer.Diagnostics.dll” con una versione retrodatata che presenta una sezione aggiuntiva nella classe ‘TraceLog’.
Nuova sezione di intestazione nella classe TraceLog (Microsoft)
Questa nuova sezione è un costruttore statico eseguito una volta durante il caricamento della DLL all’avvio del server ADFS.
L’obiettivo del costruttore è quello di agganciare quattro funzioni ADFS legittime, ovvero “Build”, “GetClientCertificate”, “EndpointConfiguration” e “ProcessClaims”.
Le funzioni agganciate consentono agli hacker russi di eseguire le seguenti azioni:
BeginBuild() – Sovverte il normale processo di ispezione/costruzione dei certificati introducendo un metodo personalizzato invocato prima di “Build()”.
BeginGetClientCertificate() – Forza l’applicazione ad accettare un certificato client non valido come valido, purché il valore OID corrisponda a uno dei valori MD5 hardcoded di MagicWeb.
BeginEndpointConfiguration() – Consente al WAP di passare la richiesta con lo specifico certificato dannoso ad ADFS per l’ulteriore elaborazione dell’autenticazione.
BeginProcessClaims() – Assicura che le richieste fraudolente con il valore OID di MagicWeb vengano aggiunte all’elenco delle richieste restituite al chiamante del metodo legittimo agganciato (ProcessClaims).
Caccia a MagicWeb
Microsoft raccomanda ai difensori di seguire le indicazioni per la caccia fornite nel rapporto. Gli indicatori di compromissione (IoC) non sono stati condivisi perché non sarebbero molto utili.
Cozy Bear personalizza spesso l’infrastruttura e le capacità per ogni campagna, riducendo al minimo il rischio operativo nel caso in cui vengano scoperti gli attributi specifici della campagna.
“Se MagicWeb viene identificato nel vostro ambiente, è improbabile che corrisponda a qualsiasi IOC statico di altri obiettivi, come un valore SHA-256“, aggiunge l’azienda.
Inoltre, la ricerca di DLL non firmate nella GAC (Global Assembly Cache) con Microsoft 365 Defender o l’enumerazione di DLL non firmate da Microsoft nella GAC tramite PowerShell possono aiutare a scoprire sostituzioni di librerie dannose.
Cozy Bear: l’APT29 con gli strumenti migliori al mondo al servizio della Russia
