MagicWebi pahavara

MagicWebi pahavara on veel üks tugev oht, mida on täheldatud osana riiklikult toetatud APT (Advanced Persistent Threat) grupi APT29 , NOBELLIUM ja Cozy Bear ähvardavast arsenalist. Arvatakse, et NOBELLIUMil on sidemed Venemaaga ning nende tüüpilisteks sihtmärkideks on olnud valitsused ja muud kriitilised organisatsioonid Euroopast, Aasiast ja USAst. MagecWebi pahavara võimaldab ründajatel oma kohalolekut ohvri võrgus varjata. Üksikasjad pahavara ja selle toimimise kohta avaldati Microsofti aruandes.

Microsofti teadlaste järelduste kohaselt esindab MagicWeb varem tuvastatud pahavara tööriista, mida tuntakse kui FoggyWeb , edasiarendust. Häkkerid võisid kasutada vanemat ohtu, et koguda rikutud ADFS-i (Active Directory Federation Services) serverite konfiguratsiooniandmebaase, dekrüpteerida valitud loa allkirjastamise/dekrüpteerimise sertifikaate või tuua operatsiooni käsu- ja juhtimissüsteemist (C2, C&C) täiendavaid kasulikke koormusi. ) serverisse ja juurutada need nakatunud süsteemidesse.

Mis puudutab konkreetselt MagicWebi, siis see oht otsib üles ja asendab ADFS-i kasutatava legitiimse DLL-i ("Microsoft.IdentityServer.Diagnostics.dll") uue rikutud versiooniga, mis suudab manipuleerida kasutajate autentimissertifikaatidega. Sisuliselt suudavad NOBELLIUM häkkerid kinnitada mis tahes serveri kasutajakonto autentimist, luua rikutud võrgus püsivust ja neil on palju võimalusi veelgi kaugemale levida. Tuleb märkida, et nõuetekohaseks toimimiseks nõuab MagicWeb, et küberkurjategijatel oleks juba ADFS-i sihtserverile administraatorijuurdepääs. Microsoft hoiatab, et üks selline juhtum on juba tuvastatud.