תוכנת זדונית של MagicWeb

תוכנת ה-MagicWeb Malware היא איום חזק נוסף שנצפה כחלק מהארסנל המאיים של קבוצת APT (Advanced Persistent Threat) בחסות המדינה הידועה בשם APT29 , NOBELLIUM ו-Cozy Bear. מאמינים של-NOBELLIUM יש קשרים עם רוסיה והמטרות האופייניות שלהם היו ממשלה וארגונים קריטיים אחרים מאירופה, אסיה וארה"ב. תוכנת ה-MagecWeb Malware מאפשרת לתוקפים להסתיר את נוכחותם ברשת של הקורבן. פרטים על התוכנה הזדונית והאופן שבו היא פועלת פורסמו בדוח של מיקרוסופט.

על פי הממצאים של חוקרי מיקרוסופט, MagicWeb מייצגת התפתחות של כלי תוכנה זדוני שזוהה בעבר המכונה FoggyWeb . ההאקרים יכולים להשתמש באיום הישן יותר כדי לאסוף את מסדי הנתונים של תצורה של שרתי ADFS (Active Directory Federation Services) שנפרצו, לפענח אישורי חתימה/פענוח אסימונים נבחרים, או להביא מטענים נוספים מ-Command-and-Control של הפעולה (C2, C&C) ) שרת ולפרוס אותם למערכות נגועות.

כשמדובר ב-MagicWeb באופן ספציפי, האיום מאתר ומחליף DLL לגיטימי ('Microsoft.IdentityServer.Diagnostics.dll') המשמש את ADFS בגרסה פגומה חדשה המסוגלת לתמרן את אישורי האימות של המשתמשים. למעשה, ההאקרים של NOBELLIUM יוכלו לאמת אימות עבור כל חשבון משתמש בשרת, לבסס התמדה ברשת הנפרצה ויהיו להם המון הזדמנויות להתפשט עוד יותר. יש לציין שכדי לתפקד כראוי, MagicWeb דורש שלפושעי הסייבר יש כבר גישת אדמין לשרת ADFS היעד. מיקרוסופט מזהירה שמקרה אחד כזה כבר זוהה.