MagicWeb-Erkennung: NOBELIUM APT nutzt ausgeklügeltes Authentifizierungs-Bypass

[post-views]
August 30, 2022 · 3 min zu lesen
MagicWeb-Erkennung: NOBELIUM APT nutzt ausgeklügeltes Authentifizierungs-Bypass

Eine berüchtigte APT-Gruppe, die verfolgt wird als NOBELIUM (auch bekannt als APT29, Cozy Bear und The Dukes) fügt ihrem Set an bösartigen Tricks neue Bedrohungen hinzu. Der Bedrohungsakteur, verantwortlich für den Schlagzeilen hackenden Angriff im Jahr 2020 auf das in Texas ansässige Unternehmen SolarWinds, bleibt eine hochaktive Verbrecherbande, die eine breite Palette von Industrien und Organisationen in öffentlichen, privaten und nichtstaatlichen Sektoren in den USA, Europa und Zentralasien beeinträchtigt.

In der neuesten Kampagne setzen die Angreifer MagicWeb-Malware ein, um den Zugang zu infizierten Umgebungen aufrechtzuerhalten.

Erkennung der MagicWeb-Malware

Um sicherzustellen, dass Ihr System kein leichtes Ziel für NOBELIUM-Hacker ist, laden Sie eine Sigma-Regel herunter, die von unserem scharfsinnigen Threat Bounty-Entwickler Aytek Aytemurveröffentlicht wurde. Die Regel erkennt verdächtiges .dll-Laden und PowerShell-Befehlszeilen, die NOBELIUM verwendet, um nicht-Microsoft-DLLs im GAC aufzulisten:

Verdächtige NOBELIUM-Ausführung durch Auflisten von Nicht-Microsoft-DLLs im GAC (über cmdline)

Diese Erkennung hat Übersetzungen für die folgenden SIEM-, EDR- und XDR-Plattformen: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, AWS OpenSearch, Open Distro und Snowflake.

Die Regel ist mit dem MITRE ATT&CK®-Framework v.10 abgestimmt und adressiert die Ausführungstaktik mit dem Hauptverfahren Befehl- und Skript-Interpreter (T1059).

Folgen Sie den Updates der Erkennungsinhalte im Zusammenhang mit NOBELIUM APT im Threat Detection Marketplace-Repository der SOC Prime-Plattform. Drücken Sie die Erkennen & Jagen Taste unten und schalten Sie den unbegrenzten Zugang zur weltweit ersten Plattform für kollaborative Cyberabwehr, Bedrohungsjagd und Entdeckung frei, die mit über 26 SIEM-, EDR- und XDR-Plattformen integriert ist. Wenn Sie neu auf der SOC Prime-Plattform sind – einem führenden Anbieter von Detection-as-Code-Inhalten – stöbern Sie durch eine breite Sammlung von Sigma-Regeln mit relevantem Bedrohungskontext, CTI- und MITRE ATT&CK-Referenzen, CVE-Beschreibungen und erhalten Sie Updates zu Bedrohungsjagd-Trends. Keine Registrierung erforderlich! Drücken Sie die Erforschen Sie den Bedrohungskontext Taste, um mehr zu erfahren.

Erkennen & Jagen Erforschen Sie den Bedrohungskontext

MagicWeb-Beschreibung

NOBELIUM APT sind bekannt für den Einsatz ausgeklügelter Werkzeuge während ihrer Angriffe. Der MagicWeb-Backdoor ist die neueste Entdeckung in ihrem Arsenal, detailliert von Microsoft Sicherheitsforschern. Die Post-Exploitation-Malware ermöglicht es Angreifern, nach der missbräuchlichen Verwendung von Admin-Anmeldeinformationen für den Zugriff auf ein AD FS-System dauerhaft Zugang zu kompromittierten Umgebungen aufrechtzuerhalten, indem sie legitime DLL durch bösartige DLL ersetzt.

Der Active Directory Federation Server (AD FS), der sich auf lokale AD-Server im Gegensatz zu Azure Active Directory in der Cloud bezieht, ist das geschäftliche Identitätssystem, das durch MagicWeb-Angriffe ins Visier genommen wird. Diese Offenlegung der Microsoft-Forscher betont auch die Bedeutung der Isolierung von AD FS und der Einschränkung des Zugriffs darauf.

Die Untersuchung der auf MagicWeb basierenden Vorfälle enthüllte auffällige Ähnlichkeiten mit der FoggyWeb Malware, die seit dem Frühjahr 2021 Teil des Waffenarsenals der NOBELIUM-Hacker war.

Im Tsunami neuer Bedrohungen ist es entscheidend, mit den Ereignissen in der Cybersicherheitsbranche auf dem Laufenden zu bleiben. Folgen Sie dem SOC Prime-Blog für die neuesten Sicherheitsnachrichten und Updates zu Erkennungsinhalten-Veröffentlichungen. Suchen Sie nach einer vertrauenswürdigen Plattform, um Ihre Erkennungsinhalte zu verteilen und gleichzeitig eine kollaborative Cyberverteidigung zu fördern? Treten Sie dem Crowdsourcing-Programm von SOC Prime bei, um Ihre Sigma- und YARA-Regeln mit der Community zu teilen, die Bedrohungsuntersuchung zu automatisieren und Feedback und Prüfung von einer Gemeinschaft von über 28.000 Sicherheitsfachleuten zu erhalten, um Ihre Sicherheitsoperationen zu verbessern.

 

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Erkennung der Secret Blizzard-Angriffe: russland-unterstützte APT zielt mit ApolloShadow-Malware auf ausländische Botschaften in Moskau ab
Blog, Neueste Bedrohungen — 5 min zu lesen
Erkennung der Secret Blizzard-Angriffe: russland-unterstützte APT zielt mit ApolloShadow-Malware auf ausländische Botschaften in Moskau ab
Daryna Olyniychuk
APT41-Angriffserkennung: Chinesische Hacker nutzen Google Kalender aus und liefern TOUGHPROGRESS-Malware, die auf Regierungsbehörden abzielt
Blog, Neueste Bedrohungen — 5 min zu lesen
APT41-Angriffserkennung: Chinesische Hacker nutzen Google Kalender aus und liefern TOUGHPROGRESS-Malware, die auf Regierungsbehörden abzielt
Daryna Olyniychuk
Erkennung von APT28-Angriffen: Russische GRU-Einheit 26156 zielt in zweijähriger Hacking-Kampagne auf westliche Logistik- und Technologieunternehmen, die Hilfe für die Ukraine koordinieren
Blog, Neueste Bedrohungen — 7 min zu lesen
Erkennung von APT28-Angriffen: Russische GRU-Einheit 26156 zielt in zweijähriger Hacking-Kampagne auf westliche Logistik- und Technologieunternehmen, die Hilfe für die Ukraine koordinieren
Veronika Telychko