MagicWeb Kötü Amaçlı Yazılımı

MagicWeb Kötü Amaçlı Yazılımı, APT29 , NOBELLIUM ve Cozy Bear olarak bilinen devlet destekli APT (Gelişmiş Kalıcı Tehdit) grubunun tehditkar cephaneliğinin bir parçası olarak gözlemlenen bir başka güçlü tehdittir. NOBELLIUM'un Rusya ile bağları olduğuna ve tipik hedeflerinin Avrupa, Asya ve ABD'den hükümet ve diğer kritik kuruluşlar olduğuna inanılıyor. MagecWeb Kötü Amaçlı Yazılımı, saldırganların kurbanın ağındaki varlıklarını gizlemelerine olanak tanır. Kötü amaçlı yazılım ve çalışma şekliyle ilgili ayrıntılar Microsoft tarafından bir raporda yayınlandı.

Microsoft araştırmacılarının bulgularına göre MagicWeb, FoggyWeb olarak bilinen daha önce tanımlanmış bir kötü amaçlı yazılım aracının evrimini temsil ediyor. Bilgisayar korsanları, ihlal edilen ADFS (Active Directory Federasyon Hizmetleri) sunucularının yapılandırma veritabanlarını toplamak, seçilen belirteç imzalama/belirteç şifre çözme sertifikalarının şifresini çözmek veya operasyonun Komuta ve Kontrol'ünden (C2, C&C) ek yükleri almak için eski tehdidi kullanabilir. ) sunucu ve bunları virüslü sistemlere dağıtın.

Özellikle MagicWeb söz konusu olduğunda, tehdit, ADFS tarafından kullanılan meşru bir DLL dosyasını ('Microsoft.IdentityServer.Diagnostics.dll') bulur ve kullanıcıların kimlik doğrulama sertifikalarını manipüle edebilen yeni bir bozuk sürümle değiştirir. Esasen NOBELLIUM korsanları, sunucudaki herhangi bir kullanıcı hesabı için kimlik doğrulamasını doğrulayabilecek, ihlal edilen ağ içinde kalıcılık sağlayabilecek ve daha da yayılmak için birçok fırsata sahip olacak. MagicWeb'in düzgün çalışması için siber suçluların hedef ADFS sunucusuna zaten yönetici erişimine sahip olması gerektiğine dikkat edilmelidir. Microsoft, böyle bir vakanın zaten tespit edildiği konusunda uyarıyor.