Rilevamento MagicWeb: NOBELIUM APT Utilizza un Sofisticato Bypass di Autenticazione

[post-views]
Agosto 30, 2022 · 4 min di lettura
Rilevamento MagicWeb: NOBELIUM APT Utilizza un Sofisticato Bypass di Autenticazione

Un noto gruppo APT tracciato come NOBELIUM (noto anche come APT29, Cozy Bear e The Dukes) aggiunge nuove minacce al loro insieme di trucchi dannosi. L’attore della minaccia, responsabile di un attacco hacker che fece notizia nel 2020 contro la società SolarWinds con sede in Texas, rimane una banda criminale altamente attiva, influenzando una vasta gamma di industrie e organizzazioni nei settori pubblico, privato e non governativo negli Stati Uniti, in Europa e nell’Asia centrale.

Nell’ultima campagna, gli avversari distribuiscono il malware MagicWeb per mantenere l’accesso agli ambienti infetti.

Rilevamento del Malware MagicWeb

Per assicurarti che il tuo sistema non sia un bersaglio facile per gli hacker di NOBELIUM, scarica una regola Sigma rilasciata dal nostro esperto sviluppatore Threat Bounty Aytek Aytemur. La regola rileva il caricamento sospetto di .dll e le linee di comando PowerShell che NOBELIUM utilizza per enumerare le DLL non Microsoft nel GAC:

Esecuzione sospetta di NOBELIUM mediante enumerazione di DLL non Microsoft nel GAC (tramite cmdline)

Questo rilevamento ha traduzioni per le seguenti piattaforme SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, AWS OpenSearch, Open Distro e Snowflake.

La regola è allineata con il framework MITRE ATT&CK® v.10, affrontando la tattica di Esecuzione con Comando e Interprete di Script (T1059) come tecnica principale.

Segui gli aggiornamenti sui contenuti di rilevamento relativi a NOBELIUM APT nel repository Threat Detection Marketplace della piattaforma SOC Prime. Premi il pulsante Detect & Hunt qui sotto e sblocca l’accesso illimitato alla prima piattaforma al mondo per la difesa informatica collaborativa, la caccia alle minacce e la scoperta, che si integra con oltre 26 piattaforme SIEM, EDR e XDR. Se sei nuovo nella piattaforma SOC Prime – un fornitore leader del settore di contenuti Detection-as-Code, esplora una vasta collezione di regole Sigma con contesto di minaccia pertinente, riferimenti CTI e MITRE ATT&CK, descrizioni CVE e ricevi aggiornamenti sulle tendenze della caccia alle minacce. Nessuna registrazione è richiesta! Premi il pulsante Esplora il contesto delle minacce per saperne di più.

Detect & Hunt Esplora il contesto delle minacce

Descrizione di MagicWeb

Gli NOBELIUM APT sono noti per utilizzare strumenti sofisticati durante i loro attacchi. Il backdoor MagicWeb è l’ultima scoperta nel loro arsenale, dettagliata dai ricercatori di sicurezza di Microsoft . Il malware post-esploitazione consente agli attaccanti di mantenere un accesso persistente agli ambienti compromessi dopo aver abusato delle credenziali amministrative per accedere a un sistema AD FS, sostituendo una DLL legittima con una DLL dannosa.

Il server Active Directory Federation (AD FS), che si riferisce ai server AD on-premise rispetto ad Azure Active Directory nel cloud, è il sistema di identità commerciale preso di mira dagli attacchi MagicWeb. Questa divulgazione da parte dei ricercatori di Microsoft sottolinea anche l’importanza di isolare AD FS e limitare l’accesso ad esso.

L’indagine sugli incidenti basati su MagicWeb ha rivelato somiglianze sorprendenti con il malware FoggyWeb che era parte dell’arsenale degli hacker NOBELIUM dalla primavera del 2021.

Nella valanga di nuove minacce, è fondamentale rimanere aggiornati sugli eventi riguardanti l’industria della sicurezza informatica. Segui il blog SOC Prime per le ultime notizie di sicurezza e aggiornamenti sui rilasci di contenuti di rilevamento. Sei alla ricerca di una piattaforma affidabile per distribuire i tuoi contenuti di rilevamento promuovendo la difesa cibernetica collaborativa? Unisciti al programma di crowdsourcing di SOC Prime per condividere le tue regole Sigma e YARA con la comunità, automatizzare le indagini sulle minacce e ottenere feedback e valutazioni da una comunità di oltre 28.000 professionisti della sicurezza per migliorare le tue operazioni di sicurezza.

 

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Rilevamento dell’attacco Secret Blizzard: APT sostenuta dalla russia prende di mira le ambasciate straniere a Mosca con il malware ApolloShadow
Blog, Ultime Minacce — 5 min di lettura
Rilevamento dell’attacco Secret Blizzard: APT sostenuta dalla russia prende di mira le ambasciate straniere a Mosca con il malware ApolloShadow
Daryna Olyniychuk
Rilevamento degli Attacchi di APT41: Hacker Cinesi Sfruttano Google Calendar e Distribuiscono Malware TOUGHPROGRESS Contro le Agenzie Governative
Blog, Ultime Minacce — 6 min di lettura
Rilevamento degli Attacchi di APT41: Hacker Cinesi Sfruttano Google Calendar e Distribuiscono Malware TOUGHPROGRESS Contro le Agenzie Governative
Daryna Olyniychuk
Rileva gli attacchi APT28: l’unità 26156 del GRU russo prende di mira le aziende logistiche e tecnologiche occidentali che coordinano gli aiuti all’Ucraina in una campagna di hacking di due anni
Blog, Ultime Minacce — 9 min di lettura
Rileva gli attacchi APT28: l’unità 26156 del GRU russo prende di mira le aziende logistiche e tecnologiche occidentali che coordinano gli aiuti all’Ucraina in una campagna di hacking di due anni
Veronika Telychko