Phần mềm độc hại MagicWeb

Phần mềm độc hại MagicWeb là một mối đe dọa tiềm tàng khác được quan sát như một phần của kho vũ khí đe dọa của nhóm APT (Mối đe dọa liên tục nâng cao) do nhà nước tài trợ được gọi là APT29 , NOBELLIUM và Cozy Bear. Người ta tin rằng NOBELLIUM có quan hệ với Nga và các mục tiêu tiêu biểu của họ là chính phủ và các tổ chức quan trọng khác từ châu Âu, châu Á và Mỹ. Phần mềm độc hại MagecWeb cho phép những kẻ tấn công che giấu sự hiện diện của chúng trên mạng của nạn nhân. Thông tin chi tiết về phần mềm độc hại và cách nó hoạt động đã được Microsoft công bố trong một báo cáo.

Theo phát hiện của các nhà nghiên cứu của Microsoft, MagicWeb đại diện cho một sự phát triển của một công cụ phần mềm độc hại đã được xác định trước đây có tên là FoggyWeb . Các tin tặc có thể sử dụng mối đe dọa cũ hơn để thu thập cơ sở dữ liệu cấu hình của các máy chủ ADFS (Active Directory Federation Services) bị vi phạm, giải mã các chứng chỉ mã thông báo / mã thông báo-giải mã đã chọn hoặc tìm nạp thêm các tải trọng từ Command-and-Control của hoạt động (C2, C&C ) máy chủ và triển khai chúng đến các hệ thống bị nhiễm.

Đặc biệt, khi nói đến MagicWeb, mối đe dọa định vị và thay thế một DLL hợp pháp ('Microsoft.IdentityServer.Diagnostics.dll') được ADFS sử dụng bằng một phiên bản bị hỏng mới có khả năng thao túng chứng chỉ xác thực của người dùng. Về bản chất, tin tặc NOBELLIUM sẽ có thể xác thực xác thực cho bất kỳ tài khoản người dùng nào trên máy chủ, thiết lập tính bền vững trong mạng bị vi phạm và có nhiều cơ hội để lây lan hơn nữa. Cần lưu ý rằng để hoạt động bình thường, MagicWeb yêu cầu tội phạm mạng phải có quyền truy cập quản trị vào máy chủ ADFS mục tiêu. Microsoft cảnh báo rằng một trường hợp như vậy đã được xác định.