MagicWeb Malware

MagicWeb Malware เป็นภัยคุกคามที่มีศักยภาพอีกประการหนึ่งซึ่งเป็นส่วนหนึ่งของคลังแสงคุกคามของกลุ่ม APT (Advanced Persistent Threat) ที่ได้รับการสนับสนุนจากรัฐ ซึ่งรู้จักกันในชื่อ APT29 , NOBELLIUM และ Cozy Bear เป็นที่เชื่อกันว่า NOBELLIUM มีความผูกพันกับรัสเซีย และเป้าหมายทั่วไปของพวกเขาคือรัฐบาลและองค์กรสำคัญอื่นๆ จากยุโรป เอเชีย และสหรัฐอเมริกา มัลแวร์ MagecWeb ช่วยให้ผู้โจมตีสามารถซ่อนสถานะของตนบนเครือข่ายของเหยื่อได้ รายละเอียดเกี่ยวกับมัลแวร์และวิธีการทำงานได้รับการเผยแพร่ในรายงานโดย Microsoft

จากการค้นพบของนักวิจัยของ Microsoft พบว่า MagicWeb แสดงถึงวิวัฒนาการของเครื่องมือมัลแวร์ที่ระบุก่อนหน้านี้ซึ่งเรียกว่า FoggyWeb แฮกเกอร์สามารถใช้ภัยคุกคามที่เก่ากว่าเพื่อรวบรวมฐานข้อมูลการกำหนดค่าของเซิร์ฟเวอร์ ADFS (Active Directory Federation Services) ที่ละเมิด ถอดรหัสใบรับรองการลงนามโทเค็น/โทเค็นการถอดรหัสที่เลือก หรือดึงข้อมูลเพย์โหลดเพิ่มเติมจาก Command-and-Control (C2, C&C) ของการดำเนินการ ) เซิร์ฟเวอร์และปรับใช้กับระบบที่ติดไวรัส

เมื่อพูดถึง MagicWeb โดยเฉพาะ ภัยคุกคามจะค้นหาและแทนที่ DLL ที่ถูกต้อง ('Microsoft.IdentityServer.Diagnostics.dll') ที่ใช้โดย ADFS ด้วยเวอร์ชันที่เสียหายใหม่ซึ่งสามารถจัดการกับใบรับรองการตรวจสอบสิทธิ์ของผู้ใช้ได้ โดยพื้นฐานแล้ว แฮกเกอร์ NOBELLIUM จะสามารถตรวจสอบการพิสูจน์ตัวตนสำหรับบัญชีผู้ใช้ใด ๆ บนเซิร์ฟเวอร์ สร้างความคงอยู่ภายในเครือข่ายที่ถูกละเมิด และมีโอกาสมากมายที่จะแพร่กระจายออกไปอีก ควรสังเกตว่าเพื่อให้ทำงานได้อย่างเหมาะสม MagicWeb กำหนดให้อาชญากรไซเบอร์มีการเข้าถึงระดับผู้ดูแลระบบไปยังเซิร์ฟเวอร์ ADFS เป้าหมายอยู่แล้ว Microsoft เตือนว่ามีการระบุกรณีดังกล่าวแล้ว