ADFS-kiszolgálók kihasználása
A Microsoft felfedezett egy új rosszindulatú programot, amelyet az orosz APT29 hackercsoport (NOBELIUM, Cozy Bear) használ, és amely lehetővé teszi a bárki hitelesítését a feltört hálózaton. Az államilag támogatott APT29 új módszert alkalmaz arra, hogy elrejtse jelenlétét célpontjaik hálózatában. Ezek a célpontok jellemzően kormányzati és kritikus infrastruktúrák, melyek Európában, az Egyesült Államokban és Ázsiában találhatóak. A MagicWeb névre keresztelt új rosszindulatú program a „FoggyWeb” továbbfejlesztése, amely lehetővé tette a hackerek számára, hogy kiszivárogjanak a kompromittált Active Directory Federation Services (ADFS) kiszolgálók konfigurációs adatbázisából, visszafejtsék az aláíró és a token-visszafejtő tanúsítványokat, és további hasznos információkat szerezzenek be a parancs és vezérlő (C2) szerverről. Az ADFS-kiszolgálók megkönnyítik a felhasználók hitelesítését, a MagicWeb segíthet az APT29-nek az adott kiszolgálón lévő bármely felhasználói fiók hitelesítésének ellenőrzésében.