Investigadores de ciberseguridad del Centro de Inteligencia de Amenazas de Microsoft (MSTIC) han descubierto una nueva capacidad posterior al compromiso que permite a un actor de amenazas mantener el acceso persistente a los entornos comprometidos.
Bautizada como «MagicWeb» por el gigante tecnológico, la capacidad se atribuye a Nobelium, un grupo comúnmente asociado a los ataques de SolarWinds y USAID.
Según el MSTIC, Nobelium ha empleado en el pasado capacidades especializadas como MagicWeb para mantener la persistencia, como FoggyWeb, que Microsoft descubrió en septiembre de 2021.
FoggyWeb ya era capaz de exfiltrar la base de datos de configuración de los servidores comprometidos de Active Directory Federated Services (AD FS), así como descifrar certificados de firma y descifrado de tokens, y descargar y ejecutar componentes de malware adicionales.
MagicWeb mejora ahora las capacidades de FoggyWeb facilitando el acceso encubierto directamente a través de una biblioteca de enlaces dinámicos (DLL) maliciosa que permite manipular las reclamaciones pasadas en los tokens generados por un servidor AD FS.
Según los expertos en ciberseguridad, Nobelium accedió primero a credenciales muy privilegiadas y se movió lateralmente para obtener privilegios administrativos en un sistema AD FS y desplegar MagicWeb.
Microsoft indicó que con la infraestructura crítica como AD FS, es importante asegurarse de que los atacantes no obtengan acceso administrativo, ya que una vez que eso sucede, los actores de la amenaza tienen varias opciones para comprometer aún más el sistema, la ofuscación de la actividad y la persistencia.