MagicWeb Malware

A MagicWeb Malware egy másik erős fenyegetés, amelyet az államilag támogatott APT (Advanced Persistent Threat) csoport fenyegető arzenáljának részeként figyeltek meg, amely APT29 , NOBELLIUM és Cozy Bear néven ismert. Úgy gondolják, hogy a NOBELLIUM kapcsolatban áll Oroszországgal, és tipikus célpontjaik a kormányok és más kritikus szervezetek voltak Európában, Ázsiából és az Egyesült Államokból. A MagecWeb Malware lehetővé teszi a támadók számára, hogy elrejtsék jelenlétüket az áldozat hálózatán. A kártevőről és működési módjáról a Microsoft egy jelentésben számolt be.

A Microsoft kutatóinak megállapításai szerint a MagicWeb egy korábban azonosított, FoggyWeb néven ismert rosszindulatú szoftver eszköz evolúciója. A hackerek a régebbi fenyegetést használhatják a feltört ADFS (Active Directory Federation Services) kiszolgálók konfigurációs adatbázisainak összegyűjtésére, a kiválasztott token-aláíró/token-visszafejtő tanúsítványok visszafejtésére, vagy további rakományok lekérésére a művelet Command-and-Controljából (C2, C&C). ) szerverre, és telepítse őket a fertőzött rendszerekre.

Ha konkrétan a MagicWebről van szó, a fenyegetés megkeresi és lecseréli az ADFS által használt legitim DLL-t ("Microsoft.IdentityServer.Diagnostics.dll") egy új, sérült verzióra, amely képes manipulálni a felhasználók hitelesítési tanúsítványait. Lényegében a NOBELLIUM hackerek képesek lesznek a szerver bármely felhasználói fiókjának hitelesítését érvényesíteni, fenntartani a feltört hálózaton belül, és rengeteg lehetőségük lesz még tovább terjedni. Meg kell jegyezni, hogy a MagicWeb megfelelő működéséhez az szükséges, hogy a kiberbűnözők már rendelkezzenek adminisztrátori hozzáféréssel a cél ADFS-kiszolgálóhoz. A Microsoft arra figyelmeztet, hogy egy ilyen esetet már azonosítottak.