Malware MagicWeb

Il malware MagicWeb è un'altra potente minaccia osservata come parte dell'arsenale minaccioso del gruppo APT (Advanced Persistent Threat) sponsorizzato dallo stato noto come APT29 , NOBELLIUM e Cozy Bear. Si ritiene che il NOBELLIUM abbia legami con la Russia e che i loro obiettivi tipici siano stati il governo e altre organizzazioni critiche provenienti da Europa, Asia e Stati Uniti. Il MagecWeb Malware consente agli aggressori di nascondere la propria presenza sulla rete della vittima. I dettagli sul malware e sul modo in cui opera sono stati rilasciati in un rapporto di Microsoft.

Secondo i risultati dei ricercatori di Microsoft, MagicWeb rappresenta un'evoluzione di uno strumento malware precedentemente identificato noto come FoggyWeb . Gli hacker potrebbero utilizzare la vecchia minaccia per raccogliere i database di configurazione dei server ADFS (Active Directory Federation Services) violati, decrittografare i certificati di firma di token/decrittografia di token scelti o recuperare payload aggiuntivi da Command-and-Control (C2, C&C) dell'operazione ) server e distribuirli su sistemi infetti.

Quando si tratta di MagicWeb in particolare, la minaccia individua e sostituisce una DLL legittima ("Microsoft.IdentityServer.Diagnostics.dll") utilizzata da ADFS con una nuova versione danneggiata in grado di manipolare i certificati di autenticazione degli utenti. In sostanza, gli hacker NOBELLIUM saranno in grado di convalidare l'autenticazione per qualsiasi account utente sul server, stabilire la persistenza all'interno della rete violata e avere molte opportunità per diffondersi ulteriormente. Va notato che per funzionare correttamente, MagicWeb richiede che i criminali informatici possiedano già l'accesso come amministratore al server ADFS di destinazione. Microsoft avverte che uno di questi casi è già stato identificato.