MagicWeb は新しいポストエクスプロイトの名前です (妥協後) Microsoft のセキュリティ研究者によって発見され、詳細が説明されたツール. このツールは Nobelium APT によるものです (高度な持続的脅威) 侵害されたシステムへの永続的なアクセスを維持するためにそれを使用するグループ.
この脅威グループは政府を積極的に標的にしています, 非政府組織および政府間組織, 全米で感謝の気持ちを込めて, ヨーロッパ, と中央アジア.
Microsoftが発見したMagicWebポストエクスプロイト マルウェア
Microsoft の研究者は、MagicWeb が Nobelium による進行中の攻撃中に展開されたのは、「エビクションを先取りできる戦略的な修復手順の間、アクセスを維持するため」であると考えています。この脅威アクターは、持続性を維持する目的で、盗んだ資格情報を介して ID とアクセスを悪用することが知られています。. MagicWeb は、攻撃者のツールの武器庫に追加されると予想される機能です。.
去年, Microsoft は、Nobelium 脅威アクターが所有する別のポストエクスプロイト ツールを明らかにしました. と呼ばれる FoggyWeb, エクスプロイト後のバックドアは、永続性を維持するために悪意のある操作で利用されました. 「受動的」および「高度に的を絞った」と表現される,」 FoggyWeb には、高度なデータ抽出機能と、追加のコンポーネントをダウンロードして実行する機能も備わっていました。.
データ収集能力に関しては, MagicWeb は FoggyWeb の能力を「超える」, 秘密のアクセスを直接促進できるため. このマルウェアは、Active Directory フェデレーション サービスによって生成されたトークンで渡されるクレームの操作を可能にする悪意のある DLL です。 (AD FS) サーバ. MagicWeb 「認証に使用するユーザー認証証明書を操作します。, Golden SAML のような攻撃で使用される署名証明書ではありません,マイクロソフトが追加.
また、環境への高度な特権アクセスを取得し、AD FS サーバーに横方向に移動した後にのみ MagicWeb を展開できることも注目に値します。. この目的を達成するために, 攻撃者は、AD FS 操作で使用される正当な Microsoft.IdentityServer.Diagnostics.dll ファイルをコピーして、バックドア DLL を作成しました。.
「このファイルの正当なバージョンは、Microsoft によって署名されたカタログであり、通常、デバッグ機能を提供するために、起動時に AD FS サーバーによって読み込まれます。,」 マイクロソフトは説明しました. 脅威アクターによるバックドア バージョンのファイルは署名されていません. AD FS サーバーへのアクセスは、侵害された環境で Nobelium が任意の数のアクションを実行できたことを意味します。, しかし、永続性と情報収集という目標のために、特に AD FS サーバーを選択しました。.