MagicWeb Malware

MagicWeb Malware er en annen potent trussel observert som en del av det truende arsenalet til den statsstøttede APT-gruppen (Advanced Persistent Threat) kjent som APT29 , NOBELLIUM og Cozy Bear. Det antas at NOBELLIUM har bånd til Russland og deres typiske mål har vært regjeringen og andre kritiske organisasjoner fra Europa, Asia og USA. MagecWeb Malware lar angriperne skjule sin tilstedeværelse på offerets nettverk. Detaljer om skadelig programvare og måten den fungerer på ble utgitt i en rapport fra Microsoft.

I følge funnene til Microsofts forskere representerer MagicWeb en utvikling av et tidligere identifisert skadelig programvareverktøy kjent som FoggyWeb . Hackerne kan bruke den eldre trusselen til å samle inn konfigurasjonsdatabasene for brutte ADFS (Active Directory Federation Services)-servere, dekryptere valgte token-signering/token-dekrypteringssertifikater eller hente ytterligere nyttelast fra operasjonens Command-and-Control (C2, C&C) ) server og distribuer dem til infiserte systemer.

Når det kommer til MagicWeb spesifikt, lokaliserer og erstatter trusselen en legitim DLL ('Microsoft.IdentityServer.Diagnostics.dll') brukt av ADFS med en ny ødelagt versjon som er i stand til å manipulere brukernes autentiseringssertifikater. I hovedsak vil NOBELLIUM-hackerne være i stand til å validere autentisering for enhver brukerkonto på serveren, etablere utholdenhet innenfor det brutte nettverket og ha mange muligheter til å spre seg enda lenger. Det skal bemerkes at for å fungere skikkelig, krever MagicWeb at nettkriminelle allerede har administratortilgang til ADFS-målserveren. Microsoft advarer om at ett slikt tilfelle allerede er identifisert.