MagicWeb Malware

MagicWeb Malware este o altă amenințare puternică observată ca parte din arsenalul amenințător al grupului APT (Advanced Persistent Threat) sponsorizat de stat, cunoscut sub numele de APT29 , NOBELLIUM și Cozy Bear. Se crede că NOBELLIUM are legături cu Rusia și țintele lor tipice au fost guvernele și alte organizații critice din Europa, Asia și SUA. MagecWeb Malware permite atacatorilor să-și ascundă prezența în rețeaua victimei. Detalii despre malware și modul în care funcționează au fost publicate într-un raport al Microsoft.

Conform descoperirilor cercetătorilor Microsoft, MagicWeb reprezintă o evoluție a unui instrument malware identificat anterior, cunoscut sub numele de FoggyWeb . Hackerii ar putea folosi amenințarea mai veche pentru a colecta bazele de date de configurare ale serverelor ADFS (Active Directory Federation Services) încălcate, pentru a decripta certificatele de semnare/decriptare a simbolurilor alese sau pentru a prelua încărcături suplimentare din comanda și controlul operațiunii (C2, C&C). ) server și implementați-le în sistemele infectate.

Când vine vorba în special de MagicWeb, amenințarea localizează și înlocuiește un DLL legitim („Microsoft.IdentityServer.Diagnostics.dll”) utilizat de ADFS cu o nouă versiune coruptă capabilă să manipuleze certificatele de autentificare ale utilizatorilor. În esență, hackerii NOBELLIUM vor putea valida autentificarea pentru orice cont de utilizator de pe server, vor putea stabili persistența în rețeaua spartă și vor avea o mulțime de oportunități de a se răspândi și mai departe. Trebuie remarcat faptul că pentru a funcționa corect, MagicWeb necesită ca infractorii cibernetici să aibă deja acces de administrator la serverul ADFS țintă. Microsoft avertizează că un astfel de caz a fost deja identificat.