NOBELIUM APT 使用的 MagicWeb 恶意软件
微软的威胁情报中心发布了一份关于一种新恶意软件的报告,该恶意软件与一个讲俄语的高级持续性威胁行为者相关,该行为者以别名 APT29、Cozy Bear 以及微软自己的名称 NOBELIUM 为名。
NOBELIUM 使用的新工具名为 MagicWeb,据报道,该工具似乎是该攻击者使用的旧恶意软件 FoggyWeb 的演变。这两种恶意软件都以 Active Directory 联合身份验证服务 (AD FS) 平台为目标,并旨在作为攻击后持久性工具包。
新的 MagicWeb 恶意软件使用属于 AD FS 平台的合法 DLL,并将其替换为恶意版本。这允许修改系统生成的认证证书和令牌。
一旦恶意 DLL 到位,攻击者就可以像受感染的 AD FS 实例上的任何用户一样进行身份验证。但是,首先要植入恶意 DLL,黑客需要获得对服务器的提升权限,通常是通过管理员帐户。
微软没有提供广泛的妥协指标列表,因为 NOBELIUM 以定制其基础设施和每次攻击的特定“属性”而闻名。
August 26, 2022
