MagicWeb-malware

De MagicWeb-malware is een andere krachtige bedreiging die wordt waargenomen als onderdeel van het bedreigende arsenaal van de door de staat gesponsorde APT-groep (Advanced Persistent Threat), bekend als APT29 , NOBELLIUM en Cozy Bear. Er wordt aangenomen dat NOBELLIUM banden heeft met Rusland en dat hun typische doelwitten de overheid en andere kritische organisaties uit Europa, Azië en de VS waren. Met de MagecWeb-malware kunnen aanvallers hun aanwezigheid op het netwerk van het slachtoffer verbergen. Details over de malware en de manier waarop deze werkt, zijn vrijgegeven in een rapport van Microsoft.

Volgens de bevindingen van de onderzoekers van Microsoft vertegenwoordigt MagicWeb een evolutie van een eerder geïdentificeerde malwaretool die bekend staat als FoggyWeb . De hackers zouden de oudere dreiging kunnen gebruiken om de configuratiedatabases van geschonden ADFS-servers (Active Directory Federation Services) te verzamelen, gekozen certificaten voor tokenondertekening/tokendecodering te decoderen of extra payloads op te halen van de Command-and-Control (C2, C&C) van de operatie. ) server en implementeer ze op geïnfecteerde systemen.

Als het specifiek om MagicWeb gaat, lokaliseert en vervangt de dreiging een legitieme DLL ('Microsoft.IdentityServer.Diagnostics.dll') die door ADFS wordt gebruikt door een nieuwe corrupte versie die de authenticatiecertificaten van gebruikers kan manipuleren. In wezen zullen de NOBELLIUM-hackers in staat zijn om authenticatie voor elk gebruikersaccount op de server te valideren, persistentie binnen het gehackte netwerk tot stand te brengen en hebben ze volop mogelijkheden om zich nog verder te verspreiden. Opgemerkt moet worden dat om goed te kunnen functioneren, MagicWeb vereist dat de cybercriminelen al beheerderstoegang hebben tot de doel-ADFS-server. Microsoft waarschuwt dat een dergelijk geval al is geïdentificeerd.