MagicWeb Malware

MagicWeb Malware är ett annat potent hot som observerats som en del av den hotfulla arsenalen av den statligt sponsrade APT-gruppen (Advanced Persistent Threat) känd som APT29 , NOBELLIUM och Cozy Bear. Man tror att NOBELLIUM har band till Ryssland och deras typiska mål har varit regeringar och andra kritiska organisationer från Europa, Asien och USA. MagecWeb Malware tillåter angriparna att dölja sin närvaro på offrets nätverk. Detaljer om skadlig programvara och hur den fungerar släpptes i en rapport från Microsoft.

Enligt resultaten från Microsofts forskare representerar MagicWeb en utveckling av ett tidigare identifierat skadligt verktyg känt som FoggyWeb . Hackarna kan använda det äldre hotet för att samla in konfigurationsdatabaserna för brutna ADFS-servrar (Active Directory Federation Services), dekryptera valda token-signering/token-dekrypteringscertifikat eller hämta ytterligare nyttolaster från operationens Command-and-Control (C2, C&C) ) server och distribuera dem till infekterade system.

När det kommer till MagicWeb specifikt, lokaliserar och ersätter hotet en legitim DLL ('Microsoft.IdentityServer.Diagnostics.dll') som används av ADFS med en ny skadad version som kan manipulera användarnas autentiseringscertifikat. I huvudsak kommer NOBELLIUM-hackarna att kunna validera autentisering för vilket användarkonto som helst på servern, etablera uthållighet inom det brutna nätverket och ha gott om möjligheter att sprida sig ytterligare. Det bör noteras att för att fungera korrekt kräver MagicWeb att cyberkriminella redan har administratörsåtkomst till ADFS-målservern. Microsoft varnar för att ett sådant fall redan har identifierats.