Зловмисне програмне забезпечення MagicWeb

Зловмисне програмне забезпечення MagicWeb є ще однією потужною загрозою, яку спостерігають як частину загрозливого арсеналу спонсорованої державою групи APT (Advanced Persistent Threat), відомої як APT29 , NOBELLIUM і Cosy Bear. Вважається, що NOBELLIUM має зв’язки з Росією, і їх типовими цілями були урядові та інші критично важливі організації з Європи, Азії та США. Зловмисне програмне забезпечення MagecWeb дозволяє зловмисникам приховати свою присутність у мережі жертви. Подробиці про зловмисне програмне забезпечення та спосіб його роботи були оприлюднені у звіті Microsoft.

Згідно з висновками дослідників Microsoft, MagicWeb являє собою еволюцію раніше ідентифікованого інструменту зловмисного програмного забезпечення, відомого як FoggyWeb . Хакери могли використати старішу загрозу для збору баз даних конфігурації зламаних серверів ADFS (Active Directory Federation Services), розшифрувати вибрані сертифікати підпису/дешифрування маркерів або отримати додаткові корисні навантаження з командно-контрольної системи (C2, C&C). ) сервер і розгорнути їх на заражених системах.

Що стосується конкретно MagicWeb, загроза знаходить і замінює законну DLL ("Microsoft.IdentityServer.Diagnostics.dll"), що використовується ADFS, новою пошкодженою версією, здатною маніпулювати сертифікатами автентифікації користувачів. По суті, хакери NOBELLIUM зможуть перевірити автентифікацію для будь-якого облікового запису користувача на сервері, встановити постійність у зламаній мережі та матимуть багато можливостей для поширення ще далі. Слід зазначити, що для належної роботи MagicWeb потрібен, щоб кіберзлочинці вже мали доступ адміністратора до цільового сервера ADFS. Microsoft попереджає, що один такий випадок вже виявлено.