MagicWeb Malware

Zlonamjerni softver MagicWeb još je jedna snažna prijetnja promatrana kao dio prijetećeg arsenala državno sponzorirane APT (Advanced Persistent Threat) grupe poznate kao APT29 , NOBELLIUM i Cosy Bear. Vjeruje se da NOBELLIUM ima veze s Rusijom i da su njihove tipične mete bile vlade i druge kritične organizacije iz Europe, Azije i SAD-a. Malware MagecWeb omogućuje napadačima da sakriju svoju prisutnost na mreži žrtve. Pojedinosti o zlonamjernom softveru i načinu na koji funkcionira objavljeni su u izvješću Microsofta.

Prema nalazima Microsoftovih istraživača, MagicWeb predstavlja evoluciju prethodno identificiranog zlonamjernog softvera poznatog kao FoggyWeb . Hakeri bi mogli upotrijebiti stariju prijetnju za prikupljanje konfiguracijskih baza podataka probijenih ADFS (Active Directory Federation Services) poslužitelja, dešifriranje odabranih certifikata za potpisivanje tokena/dešifriranje tokena ili dohvaćanje dodatnih korisnih podataka iz operacije Command-and-Control (C2, C&C ) poslužitelj i implementirajte ih na zaražene sustave.

Posebno kada je u pitanju MagicWeb, prijetnja locira i zamjenjuje legitimni DLL ('Microsoft.IdentityServer.Diagnostics.dll') koji koristi ADFS novom oštećenom verzijom koja može manipulirati korisničkim certifikatima za autentifikaciju. U biti, hakeri NOBELLIUM-a moći će potvrditi autentifikaciju za bilo koji korisnički račun na poslužitelju, uspostaviti postojanost unutar probijene mreže i imati mnogo mogućnosti za širenje dalje. Treba napomenuti da MagicWeb radi ispravno zahtijeva da kibernetički kriminalci već posjeduju administratorski pristup ciljnom ADFS poslužitelju. Microsoft upozorava da je jedan takav slučaj već identificiran.