MagicWeb Malware

MagicWeb Malware er en anden potent trussel, der observeres som en del af det truende arsenal af den statssponsorerede APT-gruppe (Advanced Persistent Threat) kendt som APT29 , NOBELLIUM og Cozy Bear. Det menes, at NOBELLIUM har bånd til Rusland, og deres typiske mål har været regeringer og andre kritiske organisationer fra Europa, Asien og USA. MagecWeb Malware giver angriberne mulighed for at skjule deres tilstedeværelse på ofrets netværk. Detaljer om malwaren og den måde, den fungerer på, blev offentliggjort i en rapport fra Microsoft.

Ifølge resultaterne af Microsofts forskere repræsenterer MagicWeb en udvikling af et tidligere identificeret malware-værktøj kendt som FoggyWeb . Hackerne kunne bruge den ældre trussel til at indsamle konfigurationsdatabaserne for brudte ADFS (Active Directory Federation Services)-servere, dekryptere valgte token-signering/token-dekrypteringscertifikater eller hente yderligere nyttelast fra operationens Command-and-Control (C2, C&C) ) server og implementer dem til inficerede systemer.

Når det kommer til MagicWeb specifikt, lokaliserer og erstatter truslen en legitim DLL ('Microsoft.IdentityServer.Diagnostics.dll'), der bruges af ADFS med en ny beskadiget version, der er i stand til at manipulere brugernes godkendelsescertifikater. I bund og grund vil NOBELLIUM-hackerne være i stand til at validere autentificering for enhver brugerkonto på serveren, etablere persistens inden for det brudte netværk og have masser af muligheder for at sprede sig yderligere. Det skal bemærkes, at for at fungere korrekt kræver MagicWeb, at cyberkriminelle allerede har administratoradgang til ADFS-målserveren. Microsoft advarer om, at et sådant tilfælde allerede er blevet identificeret.