Detecção do MagicWeb: NOBELIUM APT Usa Bypass de Autenticação Sofisticado

Um notório grupo APT rastreado como NOBELIUM (também conhecido como APT29, Cozy Bear e The Dukes) adiciona novas ameaças ao seu conjunto de truques maliciosos. O ator da ameaça, responsável por um ataque que foi manchete em 2020 à empresa SolarWinds, sediada no Texas, permanece um grupo criminoso altamente ativo, impactando uma ampla gama de indústrias e organizações nos setores público, privado e não governamental nos EUA, Europa e Ásia Central.

Na última campanha, os adversários implantam o malware MagicWeb para manter o acesso a ambientes infectados.

Detecção de Malware MagicWeb

Para garantir que seu sistema não seja um alvo fácil para os hackers do NOBELIUM, baixe uma regra Sigma lançada pelo nosso perspicaz desenvolvedor de Threat Bounty Aytek Aytemur. A regra detecta carregamento suspeito de .dll e linhas de comando PowerShell que o NOBELIUM usa para enumerar DLLs não-Microsoft no GAC:

Execução Suspeita do NOBELIUM por Enumerar DLLs Não-Microsoft no GAC (via cmdline)

Esta detecção possui traduções para as seguintes plataformas SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, AWS OpenSearch, Open Distro e Snowflake.

A regra está alinhada com a estrutura MITRE ATT&CK® v.10, abordando a tática de Execução com Command and Scripting Interpreter (T1059) como técnica principal.

Acompanhe as atualizações de conteúdo de detecção relacionadas ao NOBELIUM APT no repositório Threat Detection Marketplace da Plataforma SOC Prime. Pressione o botão Detect & Hunt abaixo e desbloqueie acesso ilimitado à primeira plataforma do mundo para defesa cibernética colaborativa, caça a ameaças e descoberta que se integra a mais de 26 plataformas SIEM, EDR e XDR. Se você é novo na Plataforma SOC Prime – um provedor líder do setor de conteúdo de Detecção-como-Código, navegue por uma vasta coleção de regras Sigma com contexto de ameaça relevante, referências CTI e MITRE ATT&CK, descrições CVE e obtenha atualizações sobre as tendências de caça a ameaças. Não é necessário registro! Pressione o botão Explore Threat Context para saber mais.

Detect & Hunt Explore Threat Context

Descrição do MagicWeb

Os APT do NOBELIUM são conhecidos por usar ferramentas sofisticadas ao longo de seus ataques. O backdoor MagicWeb é a descoberta mais recente em seu arsenal, detalhado por pesquisadores de segurança da Microsoft . O malware pós-exploração permite que os invasores mantenham acesso persistente a ambientes comprometidos após abusarem de credenciais administrativas para acessar um sistema AD FS, substituindo DLL legítimas por DLL maliciosas.

O Active Directory Federation Server (AD FS), que se refere a servidores AD locais, em oposição ao Azure Active Directory na nuvem, é o sistema de identidade empresarial visado pelos ataques MagicWeb. Esta revelação dos pesquisadores da Microsoft também destaca a importância de isolar o AD FS e limitar o acesso a ele.

A investigação sobre os incidentes baseados em MagicWeb revelou semelhanças impressionantes com o malware FoggyWeb que fazia parte do arsenal dos hackers do NOBELIUM desde a primavera de 2021.

Na avalanche de novas ameaças, é vital manter-se atualizado com os eventos relacionados à indústria de cibersegurança. Siga o blog da SOC Prime para as últimas notícias de segurança e atualizações sobre lançamentos de conteúdo de detecção. Você está em busca de uma plataforma confiável para distribuir seu conteúdo de detecção enquanto promove a defesa cibernética colaborativa? Participe do programa de crowdsourcing da SOC Prime para compartilhar suas regras Sigma e YARA com a comunidade, automatizar a investigação de ameaças e obter feedback e avaliação de uma comunidade de mais de 28.000 profissionais de segurança para impulsionar suas operações de segurança.