Accueil > Nouvelles Cyber > Le malware post-exploitation MagicWeb cible les serveurs AD FS
CYBER NOUVELLES

Le malware post-exploitation MagicWeb cible les serveurs AD FS

Le malware post-exploitation MagicWeb cible les serveurs AD FS
MagicWeb est le nom d'une nouvelle post-exploitation (post-compromis) outil découvert et détaillé par les chercheurs en sécurité de Microsoft. L'outil est attribué au Nobelium APT (Advanced Persistent Threat) groupe qui l'utilise pour maintenir un accès persistant aux systèmes compromis.

Ce groupe de menaces cible activement le gouvernement, organisations non gouvernementales et intergouvernementales, ainsi que des remerciements à travers les États-Unis, Europe, et Asie centrale.




Logiciel malveillant post-exploitation MagicWeb découvert par Microsoft

Les chercheurs de Microsoft pensent que MagicWeb a été déployé lors d'une attaque en cours par Nobelium afin "de maintenir l'accès pendant les étapes de remédiation stratégiques qui pourraient empêcher l'expulsion". Cet acteur malveillant est connu pour exploiter les identités et l'accès via des informations d'identification volées dans le but de maintenir la persistance. MagicWeb est une capacité attendue ajoutée à l'arsenal d'outils des attaquants.

L'année dernière, Microsoft a révélé un autre outil de post-exploitation possédé par l'acteur de la menace Nobelium. Appelé Web brumeux, la porte dérobée post-exploit a été exploitée dans des opérations malveillantes pour maintenir la persistance. Décrit comme « passif » et « très ciblé," FoggyWeb était également équipé de capacités sophistiquées d'exfiltration de données ainsi que de la possibilité de télécharger et d'exécuter des composants supplémentaires..

En termes de capacités de collecte de données, MagicWeb "va au-delà" de la capacité de FoggyWeb, car il peut faciliter l'accès secret directement. Le malware est une DLL malveillante permettant des manipulations des revendications passées dans les tokens générés par un Active Directory Federated Services (AD FS) serveur. MagicWeb "manipule les certificats d'authentification des utilisateurs utilisés pour l'authentification, pas les certificats de signature utilisés dans les attaques comme Golden SAML," Microsoft a ajouté.

Il convient également de noter que MagicWeb ne peut être déployé qu'après avoir obtenu un accès hautement privilégié à un environnement, puis déplacé latéralement vers un serveur AD FS.. Pour atteindre ce but, l'auteur de la menace a créé une DLL de porte dérobée en copiant le fichier légitime Microsoft.IdentityServer.Diagnostics.dll utilisé dans les opérations AD FS.

"La version légitime de ce fichier est un catalogue signé par Microsoft et est normalement chargé par le serveur AD FS au démarrage pour fournir des capacités de débogage," Microsoft a expliqué. La version dérobée du fichier par l'acteur de la menace n'est pas signée. L'accès au serveur AD FS signifie que Nobelium aurait pu effectuer un certain nombre d'actions dans l'environnement compromis, mais ils ont spécifiquement opté pour un serveur AD FS pour leurs objectifs de persistance et de collecte d'informations.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Ce site Web utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à nos politique de confidentialité.
Je suis d'accord