<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">

<style type="text/css" style="display:none;"> P {margin-top:0;margin-bottom:0;} </style>

</head>

<body dir="ltr">

<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);" class="elementToProof">

Hello,

<div><br>

</div>

<div>I hope everyone is doing well!</div>

<div><br>

</div>

<div>Below is the entry for today.</div>

<div><br>

</div>

<div>08/25/2022 - Diary entry #581:</div>

<div><br>

</div>

<blockquote style="margin-top:0;margin-bottom:0">

<div>Recently discovered, MagicWeb is a new post-compromise malware used by the Nobelium APT group, also known as APT29, Cozy Bear, and The Dukes.

<div><br>

</div>

<div>Nobelium is a Russian-based cybercrime APT group that employs advanced espionage and data exfiltration techniques. We covered Nobelium in many of our Daily Diaries (#273, #359, #376, #444, and #501), including the SolarWinds' incident, and most recently

 when they targeted multiple diplomatic and government entities.</div>

<div><br>

</div>

<div>New campaigns of Nobelium revealed the group is deploying MagicWeb after gaining access to highly privileged credentials and moving laterally to gain administrative privileges to an AD FS (Active Directory Federation Services) system. MagicWeb is a modified

 DLL version of the Microsoft.IdentityServer.Diagnostics.dll file, used in AD FS legitimate operations, therefore establishing persistence on the system and allowing the APT to authenticate users.</div>

<div><br>

</div>

To be protected against this kind of attack, it’s important to adopt security measures to block the step before, the initial access. Companies should limit the access of their employees' accounts, and remove special access and special privileges from anyone

 that doesn’t need them. By applying the Principle of Least Privilege, even if an account is compromised, the attacker’s actions are limited to that user scope, so the permissions required to deploy MagicWeb should not be available to most users inside an organization.

 It is also recommended to harden the AD FS and apply the same protections applied to a domain controller since they are all critical security infrastructure.<br>

</div>

</blockquote>

<div><br>

</div>

Kind Regards,<br>

</div>

<div>

<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<br>

</div>

<div id="Signature">

<div>

<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

</div>

<div style="font-family:Calibri,Arial,Helvetica,sans-serif; font-size:12pt; color:rgb(0,0,0)">

<table style="font-size:medium; font-family:"Times New Roman"">

<tbody>

<tr>

<td style="width:180px" align="left">

<table width="120" align="left">

<tbody>

<tr>

<td colspan="3" align="center"><a href="https://www.appgate.com/" target="_blank" rel="noopener noreferrer" style="margin:0px"><img style="margin:0px" width="120" height="30" src="https://d3aafpijpsak2t.cloudfront.net/images/Signature/logo@2x.png"></a></td>

</tr>

<tr>

<td colspan="3" align="center"> </td>

</tr>

<tr>

<td width="37%" align="center"><a href="https://www.linkedin.com/company/appgate-security/" target="_blank" rel="noopener noreferrer" style="margin:0px"><img style="margin:0px" width="18" height="18" src="https://d3aafpijpsak2t.cloudfront.net/images/Signature/likedin@2x.png"></a></td>

<td width="28%"><a href="https://twitter.com/AppgateSecurity" target="_blank" rel="noopener noreferrer" style="margin:0px"><img style="margin:0px" width="20" height="18" src="https://d3aafpijpsak2t.cloudfront.net/images/Signature/twitter@2x.png"></a></td>

<td width="35%"><a href="https://www.youtube.com/channel/UC-8GvxcZbm-R3EJNl8jYjiQ" target="_blank" rel="noopener noreferrer" style="margin:0px"><img style="width: 26px; height: 18px; max-width: initial;" width="26" height="18" src="https://d3aafpijpsak2t.cloudfront.net/images/Signature/youtube@2x.png"></a></td>

</tr>

</tbody>

</table>

<p style="margin-top:0px; margin-bottom:0px"> </p>

</td>

<td colspan="2" rowspan="2" style="width:350px">

<p style="color:rgb(12,12,12); font-size:13px; font-family:Arial,Helvetica,sans-serif; margin-top:0px; margin-bottom:0px">

<strong>Felipe Tarijon de Almeida</strong><br>

Malware Analyst<br>

<strong>Appgate</strong></p>

<p style="color:rgb(12,12,12); font-size:13px; font-family:Arial,Helvetica,sans-serif; margin-top:0px; margin-bottom:0px">

E:<span style="margin:0px"> <a href="mailto:felipe.tarijon@appgate.com" title="mailto:felipe.tarijon@appgate.com">

felipe.tarijon@appgate.com</a></span><br>

<br>

<span style="margin:0px; background-color:white"></span></p>

</td>

</tr>

</tbody>

</table>

<br>

</div>

</div>

</div>

</div>

</body>

</html>