„MagicWeb“ kenkėjiška programa

„MagicWeb“ kenkėjiška programa yra dar viena stipri grėsmė, stebima kaip dalis valstybės remiamos APT (Advanced Persistent Threat) grupės, žinomos kaip APT29 , NOBELLIUM ir Cozy Bear, grėsmingo arsenalo. Manoma, kad NOBELLIUM palaiko ryšius su Rusija ir jų tipiški taikiniai buvo vyriausybės ir kitos svarbios organizacijos iš Europos, Azijos ir JAV. „MagecWeb“ kenkėjiška programa leidžia užpuolikams paslėpti savo buvimą aukos tinkle. Išsami informacija apie kenkėjišką programą ir jos veikimą buvo paskelbta „Microsoft“ ataskaitoje.

Remiantis „Microsoft“ tyrėjų išvadomis, „MagicWeb“ yra anksčiau nustatyto kenkėjiškų programų įrankio, žinomo kaip „FoggyWeb “, evoliucija. Įsilaužėliai galėjo panaudoti senesnę grėsmę, kad surinktų pažeistų ADFS (Active Directory Federation Services) serverių konfigūracijos duomenų bazes, iššifruotų pasirinktus prieigos raktų pasirašymo / prieigos raktų iššifravimo sertifikatus arba gautų papildomų naudingųjų apkrovų iš operacijos komandų ir valdymo (C2, C&C). ) serverį ir įdiegti juos užkrėstose sistemose.

Kalbant konkrečiai apie „MagicWeb“, grėsmė suranda ir pakeičia teisėtą ADFS naudojamą DLL („Microsoft.IdentityServer.Diagnostics.dll“) nauja sugadinta versija, galinčia manipuliuoti vartotojų autentifikavimo sertifikatais. Iš esmės NOBELLIUM įsilaužėliai galės patvirtinti bet kurios vartotojo abonemento autentifikavimą serveryje, nustatyti išlikimą pažeistame tinkle ir turėti daug galimybių plisti dar toliau. Reikėtų pažymėti, kad norint tinkamai veikti, MagicWeb reikalauja, kad kibernetiniai nusikaltėliai jau turėtų administratoriaus prieigą prie tikslinio ADFS serverio. „Microsoft“ perspėja, kad vienas toks atvejis jau nustatytas.