Zlonamerna programska oprema MagicWeb

Zlonamerna programska oprema MagicWeb je še ena močna grožnja, opažena kot del grozilnega arzenala skupine APT (Advanced Persistent Threat), ki jo sponzorira država, znane kot APT29 , NOBELLIUM in Cosy Bear. Domneva se, da je NOBELLIUM povezan z Rusijo, njihove tipične tarče pa so bile vlade in druge kritične organizacije iz Evrope, Azije in ZDA. Zlonamerna programska oprema MagecWeb omogoča napadalcem, da skrijejo svojo prisotnost v omrežju žrtve. Podrobnosti o zlonamerni programski opremi in načinu njenega delovanja so bile objavljene v poročilu Microsofta.

Po ugotovitvah Microsoftovih raziskovalcev MagicWeb predstavlja razvoj predhodno identificiranega zlonamernega orodja, znanega kot FoggyWeb . Hekerji bi lahko uporabili starejšo grožnjo za zbiranje podatkovnih zbirk konfiguracij napadenih strežnikov ADFS (Active Directory Federation Services), dešifriranje izbranih potrdil za podpisovanje žetonov/dešifriranje žetonov ali pridobitev dodatnega koristnega tovora iz operacije Command-and-Control (C2, C&C ) strežnik in jih namestite v okužene sisteme.

Ko gre posebej za MagicWeb, grožnja poišče in zamenja zakoniti DLL ('Microsoft.IdentityServer.Diagnostics.dll'), ki ga uporablja ADFS, z novo poškodovano različico, ki lahko manipulira s potrdili za preverjanje pristnosti uporabnikov. V bistvu bodo hekerji NOBELLIUM lahko preverili avtentikacijo za kateri koli uporabniški račun na strežniku, vzpostavili obstojnost znotraj vdora v omrežje in imeli veliko priložnosti za širjenje še dlje. Upoštevati je treba, da MagicWeb za pravilno delovanje zahteva, da imajo kibernetski kriminalci že skrbniški dostop do ciljnega strežnika ADFS. Microsoft opozarja, da je bil en tak primer že identificiran.