NOBELIUM APT 使用的 MagicWeb 惡意軟件
微軟的威脅情報中心發布了一份關於一種新惡意軟件的報告,該惡意軟件與一個講俄語的高級持續性威脅行為者相關,該行為者以別名 APT29、Cozy Bear 以及微軟自己的名稱 NOBELIUM 為名。
NOBELIUM 使用的新工具名為 MagicWeb,根據報告,該工具似乎是該攻擊者使用的舊惡意軟件 FoggyWeb 的演變。這兩種惡意軟件都以 Active Directory 聯合身份驗證服務 (AD FS) 平台為目標,並旨在作為攻擊後持久性工具包。
新的 MagicWeb 惡意軟件使用屬於 AD FS 平台的合法 DLL,並將其替換為惡意版本。這允許修改系統生成的認證證書和令牌。
一旦惡意 DLL 到位,攻擊者就可以像受感染的 AD FS 實例上的任何用戶一樣進行身份驗證。但是,要首先植入惡意 DLL,黑客需要獲得對服務器的提升權限,通常是通過管理員帳戶。
微軟沒有提供廣泛的妥協指標列表,因為 NOBELIUM 以定制其基礎設施和每次攻擊的特定“屬性”而聞名。