Microsoft Nobelium SolarWinds MagicWeb FoggyWeb Active Directory
Сервер загружает вредонос как доверенное ПО.
Злоумышленники, ответственные за атаку на
цепочку поставок SolarWinds , стали использовать новое вредоносное ПО MagicWeb для посткомпрометации, которое используется для поддержания постоянного доступа к скомпрометированной среде и совершения бокового перемещения.
Исследователи из Microsoft
обнаружили , как APT-группа Nobelium использует бэкдор после получения прав администратора на сервере
Active Directory (AD) - служба каталогов, разработанная компанией Microsoft для доменных сетей Windows. Она включена в большинство операционных систем Windows Server в виде набора процессов и служб.
"
data-html="true" data-original-title="Active Directory"
>Active Directory Federated Services (AD FS). При таком привилегированном доступе злоумышленники заменяют законную DLL-библиотеку вредоносной DLL-библиотекой MagicWeb. При этом вредоносное ПО загружается на сервере AD FS как легитимное ПО.
Как и контроллеры домена, серверы AD FS могут аутентифицировать пользователей. MagicWeb облегчает авторизацию для злоумышленников, позволяя манипулировать утверждениями в маркерах аутентификации AD FS. Так хакеры могут аутентифицироваться в сети.
По словам Microsoft, MagicWeb является улучшенной итерацией ранее использовавшегося специализированного инструмента
FoggyWeb , который также обеспечивает прочный плацдарм внутри сетей жертв.
MagicWeb превосходит возможности FoggyWeb по сбору данных, облегчая прямой скрытый доступ. Он манипулирует сертификатами аутентификации пользователя для авторизации, а не сертификатами подписи, используемыми в атаках по типу
Golden SAML .
Согласно
бюллетеню Microsoft , на данный момент использование MagicWeb является весьма целенаправленным. На данный момент о жертвах нового ПО не сообщается.
SECURITYLAB.RU