MagicWeb マルウェア

MagicWeb マルウェアは、 APT29 、NOBELLIUM、および Cozy Bear として知られる国家支援の APT (Advanced Persistent Threat) グループの脅威兵器の一部として観測された、もう 1 つの強力な脅威です。 NOBELLIUM はロシアと関係があると考えられており、典型的な標的はヨーロッパ、アジア、米国の政府やその他の重要な組織です。 MagecWeb マルウェアにより、攻撃者は被害者のネットワーク上で自分の存在を隠すことができます。マルウェアとその動作方法に関する詳細は、Microsoft のレポートで公開されています。

Microsoft の研究者の調査結果によると、MagicWeb は、以前に確認されたFoggyWebとして知られるマルウェア ツールの進化形です。ハッカーは、古い脅威を使用して、侵害された ADFS (Active Directory フェデレーション サービス) サーバーの構成データベースを収集し、選択したトークン署名/トークン復号化証明書を復号化するか、操作のコマンド アンド コントロール (C2、C&C) から追加のペイロードをフェッチする可能性があります。 ) サーバーに移動し、感染したシステムに展開します。

特に MagicWeb に関して言えば、この脅威は、ADFS が使用する正当な DLL (「Microsoft.IdentityServer.Diagnostics.dll」) を見つけて、ユーザーの認証証明書を操作できる新しい破損したバージョンに置き換えます。本質的に、NOBELLIUM ハッカーは、サーバー上の任意のユーザー アカウントの認証を検証し、侵害されたネットワーク内で持続性を確立し、さらに拡散する機会をたくさん持つことができます。 MagicWeb が適切に機能するためには、サイバー犯罪者がターゲットの ADFS サーバーへの管理者アクセス権を既に持っている必要があることに注意してください。マイクロソフトは、そのようなケースの 1 つが既に特定されていると警告しています。