Зловреден софтуер MagicWeb

Зловреден софтуер MagicWeb е друга мощна заплаха, наблюдавана като част от заплашителния арсенал на спонсорираната от държавата група APT (Advanced Persistent Threat), известна като APT29 , NOBELLIUM и Cosy Bear. Смята се, че NOBELLIUM има връзки с Русия и типичните им цели са били правителството и други критични организации от Европа, Азия и САЩ. Зловреден софтуер MagecWeb позволява на нападателите да скрият присъствието си в мрежата на жертвата. Подробности за злонамерения софтуер и начина, по който работи, бяха публикувани в доклад на Microsoft.

Според констатациите на изследователите на Microsoft, MagicWeb представлява еволюция на идентифициран преди това инструмент за зловреден софтуер, известен като FoggyWeb . Хакерите биха могли да използват по-старата заплаха, за да събират конфигурационните бази данни на нарушени ADFS (Active Directory Federation Services) сървъри, да декриптират избрани сертификати за подписване на токени/декриптиране на токени или да извличат допълнителни полезни данни от командно-контролното управление на операцията (C2, C&C ) сървър и ги разположете в заразени системи.

Когато става въпрос конкретно за MagicWeb, заплахата локализира и заменя легитимен DLL („Microsoft.IdentityServer.Diagnostics.dll“), използван от ADFS, с нова повредена версия, способна да манипулира сертификатите за удостоверяване на потребителите. По същество хакерите на NOBELLIUM ще могат да проверят автентификацията за всеки потребителски акаунт на сървъра, да установят устойчивост в рамките на пробитата мрежа и да имат много възможности да се разпространят още повече. Трябва да се отбележи, че за да функционира правилно, MagicWeb изисква киберпрестъпниците вече да притежават администраторски достъп до целевия ADFS сървър. Microsoft предупреждава, че един такъв случай вече е идентифициран.