Microsoft, Rus hacker grubu APT29 (aka NOBELIUM, Cozy Bear) tarafından kullanılan ve güvenliği ihlal edilmiş bir ağdaki herkes olarak kimlik doğrulamayı sağlayan yeni bir kötü amaçlı yazılım keşfetti.
Devlet destekli bir siber casusluk aktörü olarak APT29, Avrupa, ABD ve Asya’daki tipik olarak hükümet ve kritik kuruluşlar gibi hedeflerinin ağlarındaki varlıklarını gizlemek için yeni yeteneği kullanıyor.
‘MagicWeb’ olarak adlandırılan yeni kötü amaçlı araç, ‘SisliWeb‘, bilgisayar korsanlarının güvenliği ihlal edilmiş Active Directory Federasyon Hizmetleri (ADFS) sunucularının yapılandırma veritabanından sızmasına, belirteç imzalama ve belirteç şifre çözme sertifikalarının şifresini çözmesine ve komut ve kontrol (C2) sunucusundan ek yükler getirmesine izin verdi.
AD FS, kullanıcının kimliğini ve yetkilendirme taleplerini doğrulamak için talep tabanlı kimlik doğrulamaya güvenir. Bu talepler, kimlik doğrulama için kullanılabilecek bir belirteç içinde paketlenir. MagicWeb, bir AD FS sunucusunun normal rolleri dışında kötü niyetli eylemler gerçekleştirmek için talep sürecine kendisini enjekte eder. – Microsoft
MagicWeb’ aracı, kullanıcı kimlik doğrulama sertifikalarını değiştirmek ve güvenliği ihlal edilmiş sunucu tarafından oluşturulan belirteçlerde geçirilen talepleri değiştirmek için ADFS tarafından kullanılan meşru bir DLL dosyasını kötü amaçlı bir sürümle değiştirir.
ADFS sunucuları, kullanıcı kimlik doğrulamasını kolaylaştırdığından, MagicWeb, APT29’un bu sunucudaki herhangi bir kullanıcı hesabı için kimlik doğrulamasını doğrulamasına yardımcı olabilir ve onlara kalıcılık ve çok sayıda döndürme fırsatı sunar.
MagicWeb, önce hedef ADFS sunucusuna yönetici erişimi elde etmek ve söz konusu DLL’yi sürümleriyle değiştirmek için APT29’u gerektirir, ancak Microsoft, bunun, Algılama ve Yanıt Ekibi (DART) ekibinin araştırmak üzere çağrıldığı en az bir durumda gerçekleştiğini bildirmektedir.
MagicWeb ayrıntıları
Microsoft, NOBELIUM’un “Microsoft.IdentityServer.Diagnostics.dll” dosyasını ‘TraceLog’ sınıfında ek bir bölüm içeren arka kapılı bir sürümle değiştirdiğini gözlemledi.
Bu yeni bölüm, ADFS sunucusunu başlatırken DLL’nin yüklenmesi sırasında bir kez yürütülen statik bir oluşturucudur.
Yapıcının amacı, “Build”, “GetClientCertificate”, “EndpointConfiguration” ve “ProcessClaims” olmak üzere dört meşru ADFS işlevini bağlamaktır.
Bağlı işlevler, Rus bilgisayar korsanlarının aşağıdaki eylemleri gerçekleştirmesini sağlar:
- BaşlamakBuild() – “Build()”den önce çağrılmadan önce özel bir yöntem sunarak normal sertifika inceleme/oluşturma sürecini alt edin.
- BeginGetClientCertificate() – OID değeri MagicWeb’deki sabit kodlanmış MD5 değerlerinden herhangi biriyle eşleştiği sürece, uygulamayı geçerli olmayan bir istemci sertifikasını geçerli olarak kabul etmeye zorlayın.
- BeginEndpointConfiguration() – Daha fazla kimlik doğrulama işlemi için WAP’ın belirli kötü amaçlı sertifika içeren isteği ADFS’ye iletmesine izin verin.
- BeginProcessClaims() – MagicWeb OID değerine sahip hileli taleplerin, meşru kanca yönteminin (ProcessClaims) arayanına döndürülen talepler listesine eklendiğinden emin olun.
MagicWeb için Avcılık
Microsoft, savunucuların aşağıdakileri izlemesini önerir: av rehberliği raporda verilmiştir. Uzlaşma göstergeleri (IoC’ler) çok yardımcı olmayacakları için paylaşılmadı.
NOBELIUM, kampanyaya özgü özelliklerin keşfedilmesi durumunda operasyonel riski en aza indirerek, altyapıyı ve yetenekleri kampanya başına sık sık özelleştirir.
Şirket, “Ortamınızda MagicWeb tanımlanırsa, SHA-256 değeri gibi diğer hedeflerden herhangi bir statik IOC’nin eşleşmesi pek olası değildir” diye ekliyor.
Ek olarak, Microsoft 365 Defender kullanarak GAC’de (Global Assembly Cache) imzasız DLL’leri aramak veya PowerShell aracılığıyla GAC’de Microsoft imzalı olmayan DLL’leri numaralandırmak, kötü amaçlı kitaplık değiştirmelerini ortaya çıkarmaya yardımcı olabilir.