Microsoft が公表した MagicWeb:AD FS 侵害後に機能する APT29 の最新マルウェア

Microsoft Uncovers New Post-Compromise Malware Used by Nobelium Hackers

2022/08/25 TheHackerNews — SolarWinds サプライチェーン攻撃の背後にいる脅威アクターは、侵害した環境への持続的なアクセスを維持に関連し、また、さらに別の高度な標的型ポスト・エクスプロイト・マルウェアに関連していることが判明した。Microsoft の Threat Intelligence Team が MagicWeb と名付けた、この新しいマルウェアは、Nobelium の目的に応じて、機能を開発/維持するための取り組みであることが改めて示された。


Nobelium とは、2020年12月の SolarWinds を標的とする高度な攻撃で明らかになった、一連のアクティビティに関連する組織の呼称であり、APT29/Cozy Bear/The Dukes として知られている、ロシア国家に支援されたハッキング・グループと重なりあうものだ。

Microsoft は、「Nobelium は依然として非常に活発であり、米国/欧州/中央アジアthe duの政府組織/非政府組織 (NGO)/政府間組織 (IGO)/シンクタンクなどを標的とした、複数のキャンペーンを並行して実行している」と述べている。

そして MagicWeb だが、FoggyWeb という別ツールと類似しており、標的とする環境での高度な特権アクセスを取得し、AD FS サーバーへと横方向に移動すると、修復作業中でもアクセスを維持し、退去を回避すると評価されている。

FoggyWeb に付属する機能としては、追加のペイロード配信と、Active Directory Federation Services (AD FS) サーバから機密情報の窃取などがあるが、MagicWeb は不正な DLL “Microsoft.IdentityServer.Diagnostics.dll” のバックドア・バージョン であり、 認証バイパスを介した AD FS システムへの秘密のアクセスを加納にする。


Microsoft は、「Nobelium が MagicWeb を展開する能力は、AD FS サーバへの管理アクセス権を持つ、きわめて特権的な資格情報にアクセスできるかどうかに懸かっている。それが得られると、アクセスした標的システム上で、彼らが望む全ての悪意のアクティビティを実行できるようになる」と述べている。

今回の発見は、外交政策情報へのアクセスを目的とした、NATO 関連組織を狙った APT29 主導のキャンペーンが、公開されたことを受けてのものだ。

Mandiant は、「具体的には、Purview Audit (旧 Advanced Audit) と呼ばれるエンタープライズ・ログ機能を無効化し、Microsoft 365 アカウントから電子メールを採取するというものだ。APT29 は、卓越した運用セキュリティと、回避戦術を実証し続けている」と述べている。

また、この脅威アクターが、最近のアクティビティ使用した新しい戦術は、パスワード推測攻撃を使用して休眠アカウントの認証情報を取得し、それを多要素認証に登録することで、組織の VPN インフラへのアクセス権を付与することだ。

APT29 は、巧妙な手口もちいて、活発に動いている脅威集団である。7月には Palo Alto Networks の Unit 42 が、Dropbox/Google Drive のクラウド・ストレージ・サービスを悪用して、マルウェアの展開や侵害後の対応を行う、フィッシング・キャンペーンについて警告を発している。

この MagicWeb ですが、FoggyWeb との類似性が指摘されています。そういえば、このところ FoggyWeb に関するトピックを見かけないと思い、ブログの中を検索してみたら、2021年9月27日の「Microsoft 警告:FoggyWeb は AD FS を狙う最強のマルウェアだ!」と、10月25日の「Microsoft 警告: Nobelium による新たなサプライチェーン攻撃が発見された」あたりで止まっていました。どのようなものかというと、もちろん Nobelium が開発したものであり、侵害済の AD FS サーバから、設定データベース/復号化されたトークン署名証明書/トークン復号化証明書などをリモートに流出させ、さらに、追加のコンポーネントをダウンロードして実行していくとされています。よろしければ、Nobelium で検索も、ご利用ください。

%d bloggers like this: