Malvér MagicWeb

Malvér MagicWeb je ďalšou silnou hrozbou, ktorá bola pozorovaná ako súčasť hrozivého arzenálu štátom podporovanej skupiny APT (Advanced Persistent Threat) známej ako APT29 , NOBELLIUM a Cozy Bear. Verí sa, že NOBELLIUM má väzby na Rusko a ich typickými cieľmi boli vlády a iné kritické organizácie z Európy, Ázie a USA. MagecWeb Malware umožňuje útočníkom skryť svoju prítomnosť v sieti obete. Podrobnosti o malvéri a spôsobe jeho fungovania zverejnil Microsoft v správe.

Podľa zistení výskumníkov spoločnosti Microsoft predstavuje MagicWeb vývoj predtým identifikovaného škodlivého nástroja známeho ako FoggyWeb . Hackeri mohli použiť staršiu hrozbu na zhromažďovanie konfiguračných databáz narušených serverov ADFS (Active Directory Federation Services), dešifrovanie vybraných certifikátov na podpisovanie/dešifrovanie tokenov alebo na získavanie dodatočných dát z operačného systému Command-and-Control (C2, C&C ) server a nasadiť ich do infikovaných systémov.

Pokiaľ ide konkrétne o MagicWeb, hrozba nájde a nahradí legitímnu knižnicu DLL („Microsoft.IdentityServer.Diagnostics.dll“) používanú službou ADFS novou poškodenou verziou schopnou manipulovať s overovacími certifikátmi používateľov. V podstate budú hackeri NOBELLIUM schopní overiť autentifikáciu pre ľubovoľný používateľský účet na serveri, zabezpečiť vytrvalosť v narušenej sieti a mať veľa príležitostí na ďalšie šírenie. Je potrebné poznamenať, že na správne fungovanie vyžaduje MagicWeb, aby počítačoví zločinci už mali prístup správcu k cieľovému serveru ADFS. Microsoft varuje, že jeden takýto prípad už identifikovali.