MagicWeb-haittaohjelma

MagicWeb-haittaohjelma on toinen voimakas uhka, joka on havaittu osana valtion tukeman APT-ryhmän (Advanced Persistent Threat) uhkaavaa arsenaalia, joka tunnetaan nimellä APT29 , NOBELLIUM ja Cozy Bear. NOBELLIUMilla uskotaan olevan siteitä Venäjään ja niiden tyypillisiä kohteita ovat olleet hallitus ja muut kriittiset organisaatiot Euroopasta, Aasiasta ja Yhdysvalloista. MagecWeb-haittaohjelman avulla hyökkääjät voivat piilottaa läsnäolonsa uhrin verkossa. Yksityiskohdat haittaohjelmasta ja sen toiminnasta on julkaistu Microsoftin raportissa.

Microsoftin tutkijoiden havaintojen mukaan MagicWeb edustaa kehitystä aiemmin tunnistetusta haittaohjelmatyökalusta, joka tunnetaan nimellä FoggyWeb . Hakkerit saattoivat käyttää vanhempaa uhkaa kerätäkseen rikottujen ADFS-palvelimien (Active Directory Federation Services) -palvelinten konfiguraatiotietokannat, purkaa valittujen tunnuksen allekirjoitus- ja salauksenpurkusertifikaattien salauksen tai hakeakseen lisähyötykuormia operaation Command-and-Controlista (C2, C&C). ) -palvelin ja ota ne käyttöön tartunnan saaneissa järjestelmissä.

Mitä tulee MagicWebiin, uhka paikantaa ja korvaa ADFS:n käyttämän laillisen DLL:n ("Microsoft.IdentityServer.Diagnostics.dll") uudella vioittuneella versiolla, joka pystyy käsittelemään käyttäjien todennusvarmenteita. Pohjimmiltaan NOBELLIUM-hakkerit pystyvät vahvistamaan minkä tahansa palvelimen käyttäjätilin todennuksen, varmistamaan pysyvyyden rikotun verkon sisällä ja heillä on runsaasti mahdollisuuksia levitä entisestään. On huomattava, että toimiakseen oikein MagicWeb edellyttää, että verkkorikollisilla on jo järjestelmänvalvojan oikeudet kohde-ADFS-palvelimeen. Microsoft varoittaa, että yksi tällainen tapaus on jo tunnistettu.