Microsoft: российское вредоносное ПО взламывает ADFS, чтобы войти в Windows под любым именем______
Microsoft обнаружила новое вредоносное ПО, используемое российской хакерской группой APT29 (известное также как NOBELIUM, Cozy Bear), которое позволяет аутентифицироваться как любой человек в скомпрометированной сети.
Будучи спонсируемым государством субъектом кибершпионажа, APT29 использует новую возможность, чтобы скрыть свое присутствие в сетях своих целей, как правило, правительственных и критически важных организаций в Европе, США и Азии.
Новое вредоносное средство, получившее название MagicWeb, представляет собой эволюцию FoggyWeb , которое позволяло хакерам эксфильтровать базу данных конфигурации скомпрометированных серверов служб федерации Active Directory (ADFS), расшифровывать сертификаты для подписи и расшифровки токенов, а также извлекать дополнительные полезные данные. с сервера управления и контроля (C2).
Инструмент MagicWeb заменяет законную DLL, используемую ADFS, на вредоносную версию для манипулирования сертификатами аутентификации пользователей и изменения утверждений, переданных в маркерах, созданных скомпрометированным сервером.
https://shly.link/xd7gd
