Malware MagicWeb

Malware MagicWeb je další silnou hrozbou pozorovanou jako součást hrozivého arzenálu státem podporované skupiny APT (Advanced Persistent Threat) známé jako APT29 , NOBELLIUM a Cozy Bear. Předpokládá se, že NOBELLIUM má vazby na Rusko a jejich typickými cíli byly vlády a další důležité organizace z Evropy, Asie a USA. Malware MagecWeb umožňuje útočníkům skrýt svou přítomnost v síti oběti. Podrobnosti o malwaru a způsobu jeho fungování byly zveřejněny ve zprávě společnosti Microsoft.

Podle zjištění výzkumníků Microsoftu představuje MagicWeb evoluci dříve identifikovaného malwarového nástroje známého jako FoggyWeb . Hackeři mohli použít starší hrozbu ke shromažďování konfiguračních databází narušených serverů ADFS (Active Directory Federation Services), dešifrování vybraných certifikátů pro podepisování/dešifrování tokenů nebo načítání dalších dat z příkazů a řízení operace (C2, C&C ) server a nasadit je do infikovaných systémů.

Pokud jde konkrétně o MagicWeb, hrozba vyhledá a nahradí legitimní knihovnu DLL („Microsoft.IdentityServer.Diagnostics.dll“) používanou službou ADFS novou poškozenou verzí schopnou manipulovat s ověřovacími certifikáty uživatelů. V podstatě budou hackeři NOBELLIUM schopni ověřit autentizaci pro jakýkoli uživatelský účet na serveru, zajistit perzistenci v prolomené síti a mít spoustu příležitostí k dalšímu šíření. Je třeba poznamenat, že ke správnému fungování vyžaduje MagicWeb, aby kyberzločinci již měli přístup správce k cílovému serveru ADFS. Microsoft varuje, že jeden takový případ již byl identifikován.