MagicWeb 惡意軟件
MagicWeb 惡意軟件是另一個強大的威脅,它是國家支持的 APT(高級持續威脅)組織APT29 、NOBELLIUM 和 Cozy Bear 的威脅武器庫的一部分。據信,NOBELLIUM 與俄羅斯有聯繫,其典型目標是歐洲、亞洲和美國的政府和其他重要組織。 MagecWeb 惡意軟件允許攻擊者隱藏他們在受害者網絡上的存在。微軟在一份報告中公佈了有關惡意軟件及其運行方式的詳細信息。
根據微軟研究人員的調查結果,MagicWeb 代表了先前識別的惡意軟件工具FoggyWeb的演變。黑客可以使用較舊的威脅來收集被破壞的 ADFS(Active Directory 聯合服務)服務器的配置數據庫,解密選定的令牌簽名/令牌解密證書,或從操作的命令和控制(C2、C&C)中獲取額外的有效負載) 服務器並將它們部署到受感染的系統。
具體到 MagicWeb 時,該威脅會定位並替換 ADFS 使用的合法 DLL(“Microsoft.IdentityServer.Diagnostics.dll”),並使用能夠操縱用戶身份驗證證書的新損壞版本。從本質上講,NOBELLIUM 黑客將能夠驗證服務器上任何用戶帳戶的身份驗證,在被破壞的網絡中建立持久性,並有大量機會進一步傳播。應該注意的是,MagicWeb 要求網絡犯罪分子已經擁有對目標 ADFS 服務器的管理員訪問權限,才能正常運行。微軟警告說,已經發現了一個這樣的案例。
