MagicWeb 恶意软件
MagicWeb 恶意软件是另一个强大的威胁,它是国家支持的 APT(高级持续威胁)组织APT29 、NOBELLIUM 和 Cozy Bear 的威胁武器库的一部分。据信,NOBELLIUM 与俄罗斯有联系,其典型目标是欧洲、亚洲和美国的政府和其他重要组织。 MagecWeb 恶意软件允许攻击者隐藏他们在受害者网络上的存在。微软在一份报告中公布了有关恶意软件及其运行方式的详细信息。
根据微软研究人员的调查结果,MagicWeb 代表了先前识别的恶意软件工具FoggyWeb的演变。黑客可以使用较旧的威胁来收集被破坏的 ADFS(Active Directory 联合服务)服务器的配置数据库,解密选定的令牌签名/令牌解密证书,或从操作的命令和控制(C2、C&C)中获取额外的有效负载) 服务器并将它们部署到受感染的系统。
具体到 MagicWeb 时,该威胁会定位并替换 ADFS 使用的合法 DLL(“Microsoft.IdentityServer.Diagnostics.dll”),并使用能够操纵用户身份验证证书的新损坏版本。从本质上讲,NOBELLIUM 黑客将能够验证服务器上任何用户帐户的身份验证,在被破坏的网络中建立持久性,并有大量机会进一步传播。应该注意的是,MagicWeb 要求网络犯罪分子已经拥有对目标 ADFS 服务器的管理员访问权限,才能正常运行。微软警告说,已经发现了一个这样的案例。
