Malware MagicWeb

Malware MagicWeb është një tjetër kërcënim i fuqishëm i vërejtur si pjesë e arsenalit kërcënues të grupit APT (Kërcënimi i Përparuar i Përparuar) i sponsorizuar nga shteti i njohur si APT29 , NOBELLIUM dhe Cozy Bear. Besohet se NOBELLIUM ka lidhje me Rusinë dhe objektivat e tyre tipike kanë qenë qeveria dhe organizata të tjera kritike nga Evropa, Azia dhe SHBA. Malware MagecWeb i lejon sulmuesit të fshehin praninë e tyre në rrjetin e viktimës. Detajet në lidhje me malware dhe mënyrën e funksionimit të tij u publikuan në një raport nga Microsoft.

Sipas gjetjeve të studiuesve të Microsoft, MagicWeb përfaqëson një evolucion të një mjeti malware të identifikuar më parë të njohur si FoggyWeb . Hakerët mund të përdorin kërcënimin më të vjetër për të mbledhur bazat e të dhënave të konfigurimit të serverëve të shkelur ADFS (Shërbimet e Federatës Active Directory), të deshifrojnë certifikatat e zgjedhura të nënshkrimit/deshifrimit të tokenit ose të marrin ngarkesa shtesë nga komanda dhe kontrolli i operacionit (C2, C&C ) server dhe vendosini ato në sistemet e infektuara.

Kur bëhet fjalë në mënyrë specifike për MagicWeb, kërcënimi lokalizon dhe zëvendëson një DLL legjitime ('Microsoft.IdentityServer.Diagnostics.dll') të përdorur nga ADFS me një version të ri të korruptuar të aftë për të manipuluar certifikatat e vërtetimit të përdoruesve. Në thelb, hakerët e NOBELLIUM do të jenë në gjendje të vërtetojnë vërtetimin e çdo llogarie përdoruesi në server, të vendosin këmbëngulje brenda rrjetit të thyer dhe të kenë shumë mundësi për t'u përhapur edhe më tej. Duhet të theksohet se për të funksionuar siç duhet, MagicWeb kërkon që kriminelët kibernetikë të kenë tashmë akses administratori në serverin e synuar ADFS. Microsoft paralajmëron se një rast i tillë tashmë është identifikuar.