Casa > Ciber Noticias > MagicWeb Post-Exploitation Malware se dirige a servidores AD FS
CYBER NOTICIAS

El malware posterior a la explotación de MagicWeb se dirige a los servidores AD FS

El malware posterior a la explotación de MagicWeb se dirige a los servidores AD FS
MagicWeb es el nombre de una nueva posexplotación (post-compromiso) herramienta descubierta y detallada por investigadores de seguridad de Microsoft. La herramienta se atribuye al Nobelium APT. (amenaza persistente avanzada) grupo que lo utiliza para mantener el acceso persistente a los sistemas comprometidos.

Este grupo de amenazas ha estado apuntando activamente al gobierno, organizaciones no gubernamentales e intergubernamentales, así como pensar gracias a través de los Estados Unidos, Europa, y Asia Central.




Malware posterior a la explotación MagicWeb descubierto por Microsoft

Los investigadores de Microsoft creen que MagicWeb se implementó durante un ataque en curso de Nobelium para "mantener el acceso durante los pasos de remediación estratégicos que podrían evitar el desalojo". Se sabe que este actor de amenazas explota las identidades y el acceso a través de credenciales robadas con el fin de mantener la persistencia.. MagicWeb es una capacidad esperada añadida al arsenal de herramientas de los atacantes..

El año pasado, Microsoft reveló otra herramienta posterior a la explotación que posee el actor de amenazas Nobelium. Llamado FoggyWeb, la puerta trasera posterior a la explotación se aprovechó en operaciones maliciosas para mantener la persistencia. Descrito como "pasivo" y "altamente dirigido,FoggyWeb también estaba equipado con sofisticadas capacidades de exfiltración de datos, así como la capacidad de descargar y ejecutar componentes adicionales..

En términos de capacidades de recopilación de datos, MagicWeb "va más allá" de la capacidad de FoggyWeb, ya que puede facilitar el acceso encubierto directamente. El malware es una DLL maliciosa que permite la manipulación de las notificaciones pasadas en tokens generados por un servicio federado de Active Directory. (AD FS) servidor. MagicWeb “manipula los certificados de autenticación de usuario utilizados para la autenticación, no los certificados de firma utilizados en ataques como Golden SAML,Microsoft agregó.

También es digno de mención que MagicWeb se puede implementar solo después de obtener un acceso altamente privilegiado a un entorno y luego moverse lateralmente a un servidor AD FS.. Para lograr este propósito, el actor de la amenaza creó una DLL de puerta trasera al copiar el archivo Microsoft.IdentityServer.Diagnostics.dll legítimo que se usa en las operaciones de AD FS.

“La versión legítima de este archivo es un catálogo firmado por Microsoft y normalmente lo carga el servidor AD FS al inicio para proporcionar capacidades de depuración.," microsoft explicó. La versión de puerta trasera del actor de amenazas del archivo no está firmada. El acceso al servidor AD FS significa que Nobelium podría haber llevado a cabo cualquier cantidad de acciones en el entorno comprometido, pero optaron específicamente por un servidor AD FS para sus objetivos de persistencia y recopilación de información..

Milena Dimitrova

Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim

Más Mensajes

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our política de privacidad.
Estoy de acuerdo