MagicWeb ļaunprātīga programmatūra

MagicWeb ļaunprogrammatūra ir vēl viens spēcīgs drauds, kas novērots kā daļa no valsts sponsorētās APT (Advanced Persistent Threat) grupas, kas pazīstama kā APT29 , NOBELLIUM un Cozy Bear, draudu arsenālā. Tiek uzskatīts, ka NOBELLIUM ir sakari ar Krieviju, un viņu tipiskie mērķi ir bijuši valdība un citas kritiski svarīgas organizācijas no Eiropas, Āzijas un ASV. MagecWeb ļaunprātīga programmatūra ļauj uzbrucējiem slēpt savu klātbūtni upura tīklā. Sīkāka informācija par ļaunprātīgo programmatūru un tās darbību tika publicēta Microsoft ziņojumā.

Saskaņā ar Microsoft pētnieku atklājumiem MagicWeb ir iepriekš identificēta ļaunprātīgas programmatūras rīka, kas pazīstams kā FoggyWeb , evolūcija. Hakeri varētu izmantot vecākus draudus, lai savāktu uzlauzto ADFS (Active Directory Federation Services) serveru konfigurācijas datu bāzes, atšifrētu izvēlētos marķieru parakstīšanas/tokenu atšifrēšanas sertifikātus vai iegūtu papildu slodzes no operācijas Command-and-Control (C2, C&C). ) serveri un izvietot tos inficētajās sistēmās.

Runājot par MagicWeb, draudi atrod un aizstāj ADFS izmantoto likumīgo DLL ("Microsoft.IdentityServer.Diagnostics.dll") ar jaunu bojātu versiju, kas spēj manipulēt ar lietotāju autentifikācijas sertifikātiem. Būtībā NOBELLIUM hakeri varēs apstiprināt jebkura servera lietotāja konta autentifikāciju, nodrošināt noturību bojātajā tīklā un nodrošināt daudz iespēju izplatīties vēl tālāk. Jāņem vērā, ka, lai MagicWeb darbotos pareizi, kibernoziedzniekiem jau ir jābūt administratora piekļuvei mērķa ADFS serverim. Microsoft brīdina, ka viens šāds gadījums jau ir konstatēts.