×

APT-группа, стоящая за атакой на SolarWinds, использует новое ПО для посткомпрометации Active Directory

APT-группа, стоящая за атакой на SolarWinds, использует новое ПО для посткомпрометации Active Directory

Сервер загружает вредонос как доверенное ПО.

Злоумышленники, ответственные за атаку на цепочку поставок SolarWinds , стали использовать новое вредоносное ПО MagicWeb для посткомпрометации, которое используется для поддержания постоянного доступа к скомпрометированной среде и совершения бокового перемещения.

Исследователи из Microsoft обнаружили , как APT-группа Nobelium использует бэкдор после получения прав администратора на сервере

Active Directory (AD) - служба каталогов, разработанная компанией Microsoft для доменных сетей Windows. Она включена в большинство операционных систем Windows Server в виде набора процессов и служб.

" data-html="true" data-original-title="Active Directory">Active Directory Federated Services (AD FS). При таком привилегированном доступе злоумышленники заменяют законную DLL-библиотеку вредоносной DLL-библиотекой MagicWeb. При этом вредоносное ПО загружается на сервере AD FS как легитимное ПО.

Как и контроллеры домена, серверы AD FS могут аутентифицировать пользователей. MagicWeb облегчает авторизацию для злоумышленников, позволяя манипулировать утверждениями в маркерах аутентификации AD FS. Так хакеры могут аутентифицироваться в сети.

По словам Microsoft, MagicWeb является улучшенной итерацией ранее использовавшегося специализированного инструмента FoggyWeb , который также обеспечивает прочный плацдарм внутри сетей жертв.

MagicWeb превосходит возможности FoggyWeb по сбору данных, облегчая прямой скрытый доступ. Он манипулирует сертификатами аутентификации пользователя для авторизации, а не сертификатами подписи, используемыми в атаках по типу Golden SAML .

Согласно бюллетеню Microsoft , на данный момент использование MagicWeb является весьма целенаправленным. На данный момент о жертвах нового ПО не сообщается.

Sysdig: каждый заработанный криптомайнерами доллар обходится жертве в 53 доллара

Эксперты рассчитали ущерб, проанализировав изучив крупную майнинговую кампанию Chimaera.

Исследователи Zscaler обнаружили в даркнете свежий билдер вредоносного ПО под названием Quantum

Инструмент может быть тесно связан с APT-группировкой Lazarus.