MagicWeb 악성코드

MagicWeb Malware는 APT29 , NOBELLIUM 및 Cozy Bear로 알려진 국가 후원 APT(Advanced Persistent Threat) 그룹의 위협적인 무기고의 일부로 관찰된 또 다른 강력한 위협입니다. NOBELLIUM은 러시아와 관련이 있으며 그들의 전형적인 목표는 유럽, 아시아 및 미국의 정부 및 기타 핵심 조직인 것으로 믿어집니다. MagecWeb Malware는 공격자가 피해자의 네트워크에서 자신의 존재를 숨길 수 있도록 합니다. 맬웨어 및 작동 방식에 대한 세부 정보는 Microsoft의 보고서에서 공개되었습니다.

Microsoft 연구원의 연구 결과에 따르면 MagicWeb은 FoggyWeb 으로 알려진 이전에 식별된 맬웨어 도구의 진화를 나타냅니다. 해커는 오래된 위협을 사용하여 침해된 ADFS(Active Directory Federation Services) 서버의 구성 데이터베이스를 수집하거나 선택한 토큰 서명/토큰 암호 해독 인증서를 해독하거나 작업의 Command-and-Control(C2, C&C)에서 추가 페이로드를 가져올 수 있습니다. ) 서버에 배포하고 감염된 시스템에 배포합니다.

특히 MagicWeb의 경우 위협 요소는 ADFS에서 사용하는 합법적인 DLL('Microsoft.IdentityServer.Diagnostics.dll')을 찾아 사용자의 인증 인증서를 조작할 수 있는 손상된 새 버전으로 교체합니다. 본질적으로 NOBELLIUM 해커는 서버의 모든 사용자 계정에 대한 인증을 검증할 수 있고, 침해된 네트워크 내에서 지속성을 구축할 수 있으며 더 많은 확산 기회를 가질 수 있습니다. MagicWeb이 제대로 작동하려면 사이버 범죄자가 대상 ADFS 서버에 대한 관리자 액세스 권한을 이미 가지고 있어야 합니다. Microsoft는 그러한 사례 중 하나가 이미 확인되었다고 경고합니다.