Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

APT-группа, стоящая за атакой на SolarWinds, использует новое ПО для посткомпрометации Active Directory

26/08/22

hack53-Aug-26-2022-10-37-34-20-AM

Злоумышленники, ответственные за атаку на цепочку поставок SolarWinds, стали использовать новое вредоносное ПО MagicWeb для посткомпрометации, которое используется для поддержания постоянного доступа к скомпрометированной среде и совершения бокового перемещения.

Исследователи из Microsoft обнаружили , как APT-группа Nobelium использует бэкдор после получения прав администратора на сервере Active Directory Federated Services (AD FS). При таком привилегированном доступе злоумышленники заменяют законную DLL-библиотеку вредоносной DLL-библиотекой MagicWeb. При этом вредоносное ПО загружается на сервере AD FS как легитимное ПО.

Как и контроллеры домена, серверы AD FS могут аутентифицировать пользователей. MagicWeb облегчает авторизацию для злоумышленников, позволяя манипулировать утверждениями в маркерах аутентификации AD FS. Так хакеры могут аутентифицироваться в сети.

По словам Microsoft, MagicWeb является улучшенной итерацией ранее использовавшегося специализированного инструмента FoggyWeb, который также обеспечивает прочный плацдарм внутри сетей жертв.

MagicWeb превосходит возможности FoggyWeb по сбору данных, облегчая прямой скрытый доступ, пишут в Securitylab. Он манипулирует сертификатами аутентификации пользователя для авторизации, а не сертификатами подписи, используемыми в атаках по типу Golden SAML .

Согласно бюллетеню Microsoft, на данный момент использование MagicWeb является весьма целенаправленным. На данный момент о жертвах нового ПО не сообщается.

Темы:WindowsAPT-группыКиберугрозыNobelium
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...