МагицВеб Малваре

МагицВеб Малвер је још једна моћна претња која се примећује као део претећег арсенала групе АПТ (Адванцед Персистент Тхреат) коју спонзорише држава, познате као АПТ29 , НОБЕЛЛИУМ и Цоси Беар. Верује се да НОБЕЛЛИУМ има везе са Русијом и да су њихове типичне мете биле владе и друге критичне организације из Европе, Азије и САД. МагецВеб Малвер омогућава нападачима да сакрију своје присуство на мрежи жртве. Детаљи о малверу и начину на који функционише објављени су у извештају Мицрософта.

Према налазима Мицрософт-ових истраживача, МагицВеб представља еволуцију претходно идентификованог малвер алата познатог као ФоггиВеб . Хакери би могли да користе старију претњу за прикупљање конфигурационих база података пробијених АДФС (Ацтиве Дирецтори Федератион Сервицес) сервера, дешифровање одабраних сертификата за потписивање/дешифровање токена или преузимање додатних корисних података из команде и контроле (Ц2, Ц&Ц) операције ) сервер и применити их на заражене системе.

Када је реч о МагицВеб-у, претња лоцира и замењује легитимни ДЛЛ („Мицрософт.ИдентитиСервер.Диагностицс.длл“) који користи АДФС са новом оштећеном верзијом која може да манипулише сертификатима за аутентификацију корисника. У суштини, НОБЕЛЛИУМ хакери ће моћи да провере аутентификацију за било који кориснички налог на серверу, успоставе постојаност унутар пробијене мреже и имају много могућности да се шире даље. Треба напоменути да за правилно функционисање МагицВеб захтева да сајбер криминалци већ поседују администраторски приступ циљном АДФС серверу. Мицрософт упозорава да је један такав случај већ идентификован.