Programari maliciós MagicWeb

El programari maliciós MagicWeb és una altra amenaça potent observada com a part de l'arsenal amenaçador del grup APT (Advanced Persistent Threat) patrocinat per l'estat conegut com APT29 , NOBELLIUM i Cozy Bear. Es creu que NOBELLIUM té vincles amb Rússia i els seus objectius típics han estat el govern i altres organitzacions crítiques d'Europa, Àsia i els EUA. El programari maliciós MagecWeb permet als atacants amagar la seva presència a la xarxa de la víctima. Els detalls sobre el programari maliciós i la forma en què funciona es van publicar en un informe de Microsoft.

Segons les conclusions dels investigadors de Microsoft, MagicWeb representa una evolució d'una eina de programari maliciós identificada prèviament coneguda com FoggyWeb . Els pirates informàtics podrien utilitzar l'amenaça més antiga per recopilar les bases de dades de configuració dels servidors ADFS (Active Directory Federation Services) incompliments, desxifrar els certificats de signatura/desxifrat de testimonis escollits o obtenir càrregues útils addicionals del comandament i control de l'operació (C2, C&C). ) i desplegar-los als sistemes infectats.

Quan es tracta específicament de MagicWeb, l'amenaça localitza i substitueix una DLL legítima ("Microsoft.IdentityServer.Diagnostics.dll") utilitzada per ADFS amb una nova versió danyada capaç de manipular els certificats d'autenticació dels usuaris. En essència, els pirates informàtics de NOBELLIUM podran validar l'autenticació de qualsevol compte d'usuari al servidor, establir la persistència dins de la xarxa violada i tenir moltes oportunitats per estendre's encara més. Cal tenir en compte que per funcionar correctament, MagicWeb requereix que els ciberdelinqüents ja tinguin accés d'administrador al servidor ADFS de destinació. Microsoft adverteix que un d'aquests casos ja s'ha identificat.