NOBELIUM APT が使用する MagicWeb マルウェア
Microsoft の Threat Intelligence Center は、APT29、Cozy Bear というエイリアスで知られており、Microsoft 独自の呼称で NOBELIUM という名前で知られている、ロシア語を話す高度で持続的な脅威アクターに関連する新しいマルウェアに関するレポートを公開しました。
NOBELIUM が使用する新しいツールは MagicWeb と呼ばれ、レポートによると、攻撃者が使用する FoggyWeb という名前の古いマルウェアが進化したものと思われます。どちらのマルウェアも Active Directory フェデレーション サービス (AD FS) プラットフォームを標的とし、侵害後の持続性ツールキットとして意図されています。
新しい MagicWeb マルウェアは、AD FS プラットフォームに属する正当な DLL を使用し、それを悪意のあるバージョンに置き換えます。これにより、システムが生成する認証証明書とトークンを変更できます。
悪意のある DLL が配置されると、脅威アクターは侵害された AD FS インスタンスで事実上すべてのユーザーとして認証できます。ただし、最初に悪意のある DLL を埋め込むには、ハッカーは、通常は管理者アカウントを介して、サーバーへの昇格された特権アクセスを取得する必要があります。
NOBELIUM はそのインフラストラクチャと各攻撃の特定の「属性」をカスタマイズすることで知られているため、Microsoft は侵害の指標の広範なリストを提供しませんでした。