MagicWeb検出：NOBELIUM APTが高度な認証バイパスを使用

APTグループとして追跡されている悪名高い NOBELIUM （別名APT29, Cozy Bear, The Dukes）は、新たな脅威を悪意のある手口のセットに追加しています。2020年にテキサスに本社を置くSolarWinds社のハッキングで世間を賑わせたこの脅威アクターは、現在も非常に活発な犯罪グループとして、公的、民間、非政府の各部門を含む米国、ヨーロッパ、中央アジアの幅広い業種や組織に影響を与えています。

最新のキャンペーンでは、対戦相手がMagicWebマルウェアを展開し、感染環境へのアクセスを維持しています。

MagicWebマルウェアの検出

NOBELIUMのハッカーに対してシステムを無防備な状態にしないために、鋭意開発した我々のThreat Bounty開発者 Aytek AytemurがリリースしたSigmaルールをダウンロードしてください。このルールは、NOBELIUMがGACで非Microsoft DLLを列挙するために使用する疑わしい.dllの読み込みとPowerShellコマンドラインを検出します。

GACで非Microsoft DLLを列挙することによるNOBELIUMの疑わしい実行（cmdline経由）

この検出は次のSIEM、EDR & XDRプラットフォームに翻訳されています：Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, AWS OpenSearch, Open Distro, Snowflake。

このルールはMITRE ATT&CK®フレームワークv.10に準拠しており、Command and Scripting Interpreter（T1059）の主要技術を用いたExecution戦術に対応しています。

SOC Prime PlatformのThreat Detection MarketplaceリポジトリでNOBELIUM APTに関連する検出コンテンツの更新をフォローしてください。 Detect & Hunt ボタンを押して、26以上のSIEM、EDR、XDRプラットフォームに統合された世界初の協調的サイバー防御、脅威ハンティング、発見プラットフォームへの無制限アクセスを解除してください。業界をリードするDetection-as-CodeコンテンツのプロバイダーであるSOC Prime Platformを初めて利用する場合、 Sigmaルール の幅広いコレクションを探索し、関連する脅威コンテキスト、CTIおよびMITRE ATT&CK参照、CVE詳細、および脅威ハンティングのトレンドについての更新を取得してください。 Explore Threat Context ボタンを押して詳細を学んでください。

Detect & Hunt Explore Threat Context

MagicWebの説明

NOBELIUM APTは攻撃全体を通して高度なツールを使用していることで知られています。MagicWebバックドアは彼らの武器庫における最近の発見であり、 Microsoft のセキュリティ研究者により詳細が明らかになっています。このポストエクスプロイトマルウェアは、攻撃者が管理者のクレデンシャルを悪用してAD FSシステムにアクセスし、正当なDLLを悪意のあるDLLに置き換えた後に、侵害された環境への持続的なアクセスを維持することを可能にします。

オンプレミスADサーバーを示すActive Directory Federation Server（AD FS）は、Azure Active Directoryではなくクラウドのターゲットとして、MagicWeb攻撃で標的にされるビジネスアイデンティティシステムです。このMicrosoft研究者による開示は、AD FSの孤立とアクセス制限の重要性も強調しています。

MagicWebベースの事件の調査により、 FoggyWeb マルウェアとの顕著な類似点が明らかになりました。FoggyWebは2021年の春からNOBELIUMハッカーの武器の一部でした。

新しい脅威の雪崩の中、サイバーセキュリティ産業に関するイベントを最新の状態に保つことが重要です。 SOC Primeブログ をフォローして、検出コンテンツリリースに関する最新のセキュリティニュースと更新を入手してください。あなたの検出コンテンツを配布し、協調的サイバー防御を促進する信頼できるプラットフォームをお探しですか？ SOC Primeのクラウドソーシングプログラム に参加して、SigmaやYARAルールをコミュニティと共有し、脅威の調査を自動化し、28,000人以上のセキュリティ専門家のコミュニティからフィードバックと審査を受けてセキュリティ操作を向上させましょう。