Logiciel malveillant MagicWeb

Le MagicWeb Malware est une autre menace puissante observée dans le cadre de l'arsenal menaçant du groupe APT (Advanced Persistent Threat) parrainé par l'État connu sous le nom d' APT29 , NOBELLIUM et Cozy Bear. On pense que NOBELLIUM a des liens avec la Russie et que leurs cibles typiques sont le gouvernement et d'autres organisations critiques d'Europe, d'Asie et des États-Unis. Le MagecWeb Malware permet aux attaquants de cacher leur présence sur le réseau de la victime. Des détails sur le logiciel malveillant et son fonctionnement ont été publiés dans un rapport de Microsoft.

Selon les conclusions des chercheurs de Microsoft, MagicWeb représente une évolution d'un outil malveillant précédemment identifié connu sous le nom de FoggyWeb . Les pirates pourraient utiliser l'ancienne menace pour collecter les bases de données de configuration des serveurs ADFS (Active Directory Federation Services) violés, déchiffrer les certificats de signature de jeton/déchiffrement de jeton choisis ou récupérer des charges utiles supplémentaires à partir du Command-and-Control (C2, C&C ) serveur et déployez-les sur les systèmes infectés.

En ce qui concerne spécifiquement MagicWeb, la menace localise et remplace une DLL légitime ("Microsoft.IdentityServer.Diagnostics.dll") utilisée par ADFS par une nouvelle version corrompue capable de manipuler les certificats d'authentification des utilisateurs. Essentiellement, les pirates NOBELLIUM pourront valider l'authentification pour n'importe quel compte d'utilisateur sur le serveur, établir la persistance au sein du réseau piraté et avoir de nombreuses opportunités de se propager encore plus loin. Il convient de noter que pour fonctionner correctement, MagicWeb nécessite que les cybercriminels possèdent déjà un accès administrateur au serveur ADFS cible. Microsoft prévient qu'un tel cas a déjà été identifié.