Ruska hakerska grupa otima ADFS proces autentifikacije
Novi zlonamjerni softver koji koristi ruska hakerska grupa APT29 (poznat i kao NOBELIUM ili Cosy Bear) potkopava proces autentifikacije ADFS (Active Directory Federation Services) i omogućuje zlonamjernim korisnicima da se prijave kao bilo tko u Windowse. Čini se da akteri prijetnji brzo uvode inovacije i fokusiraju se na Microsoft, koristeći lokalne komponente Active Directory, u ovom slučaju ADFS.
Novi zlonamjerni alat zove se 'MagicWeb' i predstavlja modifikaciju procesa autentifikacije ADFS-a koji zamjenjuje legitimni sistemski DLL zlonamjernom verzijom za manipuliranje korisničkim certifikatima za autentifikaciju i modificiranje zahtjeva proslijeđenih u tokenima koje je generirao kompromitirani poslužitelj.
Budući da ADFS olakšava autentifikaciju korisnika, DLL modifikacija MagicWeba će potvrditi autentifikaciju za bilo koji korisnički račun na tom poslužitelju, dajući akteru prijetnje puno novih prilika za lažno predstavljanje korisnika, pristup podacima i bočno kretanje.
Naravno, MagicWeb zahtijeva od zlonamjernog korisnika da najprije dobije administratorski pristup ciljnom ADFS poslužitelju i zamijeni navedeni DLL svojom verzijom, tako da se uglavnom koristi kao tehnika post-kompromitiranja.
Postoje mnogi indikatori prijetnje koji mogu pomoći u traženju ove, a najvažnije je traženje nepotpisanih DLL-ova. Opet, pregled endpointa ili poslužitelja korištenjem XDR tehnologije ovdje se pokazao važnim.
![[Webinar] NIS2, CER, CRA - kako se snaći u šumi novih propisa o kibersigurnosti?](https://static.wixstatic.com/media/6681e7_73dcd91e1a2b4d428120b92ad9214dce~mv2.jpg/v1/fill/w_305,h_305,fp_0.50_0.50,q_90,enc_auto/6681e7_73dcd91e1a2b4d428120b92ad9214dce~mv2.jpg)
