MagicWeb Malware

MagicWeb Malware ialah satu lagi ancaman kuat yang diperhatikan sebagai sebahagian daripada senjata mengancam kumpulan APT (Advanced Persistent Threat) tajaan kerajaan yang dikenali sebagai APT29 , NOBELLIUM dan Cozy Bear. Adalah dipercayai bahawa NOBELLIUM mempunyai hubungan dengan Rusia dan sasaran biasa mereka ialah kerajaan dan organisasi kritikal lain dari Eropah, Asia dan AS. Malware MagecWeb membenarkan penyerang menyembunyikan kehadiran mereka pada rangkaian mangsa. Butiran tentang perisian hasad dan cara ia beroperasi dikeluarkan dalam laporan oleh Microsoft.

Menurut penemuan penyelidik Microsoft, MagicWeb mewakili evolusi alat perisian hasad yang dikenal pasti sebelum ini dikenali sebagai FoggyWeb . Penggodam boleh menggunakan ancaman lama untuk mengumpul pangkalan data konfigurasi pelayan ADFS (Perkhidmatan Persekutuan Direktori Aktif) yang dilanggar, menyahsulit sijil penandatanganan/penyahsulitan token yang dipilih, atau mengambil muatan tambahan daripada Perintah-dan-Kawalan (C2, C&C) operasi. ) pelayan dan menggunakan mereka ke sistem yang dijangkiti.

Apabila ia datang kepada MagicWeb secara khusus, ancaman itu mengesan dan menggantikan DLL yang sah ('Microsoft.IdentityServer.Diagnostics.dll') yang digunakan oleh ADFS dengan versi rosak baharu yang mampu memanipulasi sijil pengesahan pengguna. Pada dasarnya, penggodam NOBELLIUM akan dapat mengesahkan pengesahan untuk mana-mana akaun pengguna pada pelayan, mewujudkan kegigihan dalam rangkaian yang dilanggar dan mempunyai banyak peluang untuk menyebar lebih jauh. Perlu diingatkan bahawa untuk berfungsi dengan baik, MagicWeb memerlukan penjenayah siber sudah memiliki akses pentadbir kepada pelayan ADFS sasaran. Microsoft memberi amaran bahawa satu kes sedemikian telah dikenal pasti.