Сервер загружает вредонос как доверенное ПО.
Злоумышленники, ответственные за атаку на цепочку поставок SolarWinds , стали использовать новое вредоносное ПО MagicWeb для посткомпрометации, которое используется для поддержания постоянного доступа к скомпрометированной среде и совершения бокового перемещения.
Исследователи из Microsoft обнаружили , как APT-группа Nobelium использует бэкдор после получения прав администратора на сервере
Active Directory (AD) - служба каталогов, разработанная компанией Microsoft для доменных сетей Windows. Она включена в большинство операционных систем Windows Server в виде набора процессов и служб.
Как и контроллеры домена, серверы AD FS могут аутентифицировать пользователей. MagicWeb облегчает авторизацию для злоумышленников, позволяя манипулировать утверждениями в маркерах аутентификации AD FS. Так хакеры могут аутентифицироваться в сети.
По словам Microsoft, MagicWeb является улучшенной итерацией ранее использовавшегося специализированного инструмента FoggyWeb , который также обеспечивает прочный плацдарм внутри сетей жертв.
MagicWeb превосходит возможности FoggyWeb по сбору данных, облегчая прямой скрытый доступ. Он манипулирует сертификатами аутентификации пользователя для авторизации, а не сертификатами подписи, используемыми в атаках по типу Golden SAML .
Согласно бюллетеню Microsoft , на данный момент использование MagicWeb является весьма целенаправленным. На данный момент о жертвах нового ПО не сообщается.
