Κακόβουλο λογισμικό MagicWeb

Το κακόβουλο λογισμικό MagicWeb είναι μια άλλη ισχυρή απειλή που παρατηρείται ως μέρος του απειλητικού οπλοστασίου της κρατικής χορηγίας της ομάδας APT (Advanced Persistent Threat) που είναι γνωστή ως APT29 , NOBELLIUM και Cozy Bear. Πιστεύεται ότι η NOBELLIUM έχει δεσμούς με τη Ρωσία και οι τυπικοί στόχοι της ήταν κυβερνητικοί και άλλοι κρίσιμοι οργανισμοί από την Ευρώπη, την Ασία και τις ΗΠΑ. Το MagecWeb Malware επιτρέπει στους εισβολείς να κρύψουν την παρουσία τους στο δίκτυο του θύματος. Λεπτομέρειες σχετικά με το κακόβουλο λογισμικό και τον τρόπο λειτουργίας του κυκλοφόρησαν σε έκθεση της Microsoft.

Σύμφωνα με τα ευρήματα των ερευνητών της Microsoft, το MagicWeb αντιπροσωπεύει μια εξέλιξη ενός εργαλείου κακόβουλου λογισμικού που είχε εντοπιστεί προηγουμένως, γνωστό ως FoggyWeb . Οι χάκερ θα μπορούσαν να χρησιμοποιήσουν την παλαιότερη απειλή για να συλλέξουν τις βάσεις δεδομένων διαμόρφωσης των παραβιασμένων διακομιστών ADFS (Active Directory Federation Services), να αποκρυπτογραφήσουν επιλεγμένα πιστοποιητικά υπογραφής/αποκρυπτογράφησης διακριτικών ή να ανακτήσουν πρόσθετα ωφέλιμα φορτία από το Command-and-Control της λειτουργίας (C2, C&C ) διακομιστή και αναπτύξτε τα σε μολυσμένα συστήματα.

Όσον αφορά συγκεκριμένα το MagicWeb, η απειλή εντοπίζει και αντικαθιστά ένα νόμιμο DLL ("Microsoft.IdentityServer.Diagnostics.dll") που χρησιμοποιείται από το ADFS με μια νέα κατεστραμμένη έκδοση που μπορεί να χειριστεί τα πιστοποιητικά ελέγχου ταυτότητας των χρηστών. Ουσιαστικά, οι χάκερ NOBELLIUM θα είναι σε θέση να επικυρώσουν τον έλεγχο ταυτότητας για οποιονδήποτε λογαριασμό χρήστη στον διακομιστή, να εδραιώσουν την επιμονή στο δίκτυο που έχει παραβιαστεί και να έχουν πολλές ευκαιρίες να εξαπλωθούν ακόμη περισσότερο. Θα πρέπει να σημειωθεί ότι για να λειτουργήσει σωστά, το MagicWeb απαιτεί οι κυβερνοεγκληματίες να διαθέτουν ήδη πρόσβαση διαχειριστή στον διακομιστή ADFS-στόχου. Η Microsoft προειδοποιεί ότι έχει ήδη εντοπιστεί μια τέτοια περίπτωση.