Вредоносное ПО MagicWeb

Вредоносное ПО MagicWeb — еще одна мощная угроза, наблюдаемая как часть угрожающего арсенала спонсируемой государством группы APT (Advanced Persistent Threat), известной как APT29 , NOBELLIUM и Cozy Bear. Считается, что NOBELLIUM имеет связи с Россией, и их типичными целями были правительства и другие важные организации из Европы, Азии и США. Вредоносная программа MagecWeb позволяет злоумышленникам скрыть свое присутствие в сети жертвы. Подробности о вредоносном ПО и принципах его работы были опубликованы в отчете Microsoft.

Согласно выводам исследователей Microsoft, MagicWeb представляет собой эволюцию ранее идентифицированного вредоносного инструмента, известного как FoggyWeb . Хакеры могли использовать старую угрозу для сбора баз данных конфигурации взломанных серверов ADFS (службы федерации Active Directory), расшифровки выбранных сертификатов для подписи и расшифровки маркеров или извлечения дополнительных полезных данных из системы управления и контроля операции (C2, C&C). ) сервер и развернуть их на зараженных системах.

Что касается конкретно MagicWeb, то угроза находит и заменяет законную библиотеку DLL (Microsoft.IdentityServer.Diagnostics.dll), используемую ADFS, новой поврежденной версией, способной манипулировать сертификатами аутентификации пользователей. По сути, хакеры NOBELLIUM смогут проверить подлинность любой учетной записи пользователя на сервере, установить постоянство во взломанной сети и иметь множество возможностей для дальнейшего распространения. Следует отметить, что для правильной работы MagicWeb требуется, чтобы киберпреступники уже имели доступ администратора к целевому серверу ADFS. Microsoft предупреждает, что один такой случай уже выявлен.