MagicWeb Malware

Ang MagicWeb Malware ay isa pang makapangyarihang banta na naobserbahan bilang bahagi ng nagbabantang arsenal ng grupong APT (Advanced Persistent Threat) na inisponsor ng estado na kilala bilang APT29 , NOBELLIUM at Cozy Bear. Ito ay pinaniniwalaan na ang NOBELLIUM ay may kaugnayan sa Russia at ang kanilang karaniwang mga target ay ang gobyerno at iba pang kritikal na organisasyon mula sa Europe, Asia at US. Ang MagecWeb Malware ay nagpapahintulot sa mga umaatake na itago ang kanilang presensya sa network ng biktima. Ang mga detalye tungkol sa malware at ang paraan ng pagpapatakbo nito ay inilabas sa isang ulat ng Microsoft.

Ayon sa mga natuklasan ng mga mananaliksik ng Microsoft, ang MagicWeb ay kumakatawan sa isang ebolusyon ng isang dating natukoy na tool ng malware na kilala bilang FoggyWeb . Maaaring gamitin ng mga hacker ang mas lumang banta para kolektahin ang mga database ng configuration ng mga nalabag na ADFS (Active Directory Federation Services) server, i-decrypt ang mga napiling token-signing/token-decryption certificate, o kumuha ng mga karagdagang payload mula sa Command-and-Control (C2, C&C) ng operasyon. ) server at i-deploy ang mga ito sa mga nahawaang system.

Pagdating sa MagicWeb partikular, hinahanap at pinapalitan ng banta ang isang lehitimong DLL ('Microsoft.IdentityServer.Diagnostics.dll') na ginagamit ng ADFS na may bagong sira na bersyon na may kakayahang manipulahin ang mga certificate ng pagpapatunay ng mga user. Sa esensya, ang NOBELLIUM hackers ay magagawang patunayan ang pagpapatunay para sa anumang user account sa server, magtatag ng pagtitiyaga sa loob ng nilabag na network at magkaroon ng maraming pagkakataon na kumalat pa. Dapat tandaan na upang gumana nang maayos, hinihiling ng MagicWeb na ang mga cybercriminal ay mayroon nang admin access sa target na ADFS server. Nagbabala ang Microsoft na ang isang ganoong kaso ay natukoy na.