Złośliwe oprogramowanie MagicWeb

MagicWeb Malware to kolejne poważne zagrożenie zaobserwowane jako część groźnego arsenału sponsorowanej przez państwo grupy APT (Advanced Persistent Threat) znanej jako APT29 , NOBELLIUM i Cozy Bear. Uważa się, że NOBELLIUM ma powiązania z Rosją, a ich typowymi celami były rządy i inne krytyczne organizacje z Europy, Azji i USA. MagecWeb Malware pozwala atakującym ukryć swoją obecność w sieci ofiary. Szczegóły dotyczące złośliwego oprogramowania i sposobu jego działania zostały opublikowane w raporcie firmy Microsoft.

Zgodnie z ustaleniami badaczy Microsoftu, MagicWeb reprezentuje ewolucję wcześniej zidentyfikowanego szkodliwego narzędzia znanego jako FoggyWeb . Hakerzy mogą wykorzystać starsze zagrożenie do zebrania baz danych konfiguracyjnych naruszonych serwerów ADFS (Active Directory Federation Services), odszyfrowania wybranych certyfikatów do podpisywania/odszyfrowywania tokenów lub pobierania dodatkowych ładunków z operacji Command-and-Control (C2, C&C). ) i wdrażać je w zainfekowanych systemach.

Jeśli chodzi konkretnie o MagicWeb, zagrożenie lokalizuje i zastępuje legalną bibliotekę DLL („Microsoft.IdentityServer.Diagnostics.dll”) używaną przez program ADFS nową uszkodzoną wersją zdolną do manipulowania certyfikatami uwierzytelniającymi użytkowników. Zasadniczo hakerzy NOBELLIUM będą w stanie zweryfikować uwierzytelnienie dla dowolnego konta użytkownika na serwerze, ustalić trwałość w naruszonej sieci i będą mieli wiele możliwości dalszego rozprzestrzeniania się. Należy zauważyć, że do prawidłowego działania MagicWeb wymaga, aby cyberprzestępcy posiadali już dostęp administratora do docelowego serwera ADFS. Microsoft ostrzega, że jeden taki przypadek został już zidentyfikowany.