Software malicioso MagicWeb

MagicWeb Malware es otra potente amenaza observada como parte del amenazante arsenal del grupo APT (Advanced Persistent Threat) patrocinado por el estado conocido como APT29 , NOBELLIUM y Cozy Bear. Se cree que NOBELLIUM tiene vínculos con Rusia y sus objetivos típicos han sido el gobierno y otras organizaciones críticas de Europa, Asia y EE. UU. MagecWeb Malware permite a los atacantes ocultar su presencia en la red de la víctima. Los detalles sobre el malware y la forma en que opera fueron publicados en un informe de Microsoft.

Según los hallazgos de los investigadores de Microsoft, MagicWeb representa una evolución de una herramienta de malware previamente identificada conocida como FoggyWeb . Los piratas informáticos podrían usar la amenaza más antigua para recopilar las bases de datos de configuración de los servidores ADFS (Servicios de federación de Active Directory) violados, descifrar los certificados de firma/descifrado de token elegidos u obtener cargas útiles adicionales del comando y control de la operación (C2, C&C). ) servidor e implementarlos en los sistemas infectados.

Cuando se trata específicamente de MagicWeb, la amenaza localiza y reemplaza una DLL legítima ('Microsoft.IdentityServer.Diagnostics.dll') utilizada por ADFS con una nueva versión corrupta capaz de manipular los certificados de autenticación de los usuarios. En esencia, los piratas informáticos de NOBELLIUM podrán validar la autenticación de cualquier cuenta de usuario en el servidor, establecer la persistencia dentro de la red violada y tener muchas oportunidades para expandirse aún más. Cabe señalar que, para funcionar correctamente, MagicWeb requiere que los ciberdelincuentes ya posean acceso de administrador al servidor ADFS de destino. Microsoft advierte que uno de esos casos ya ha sido identificado.