Nobelium APT 使用新的恶意软件 MagicWeb

据外媒报道，Nobelium APT 使用新的恶意软件 MagicWeb。该软件是一个恶意 DLL，是 Microsoft.IdentityServer.Diagnostics.dll 文件的污染版本，其用于 ADFS 操作。一旦通过特权提升和横向移动获得对 ADFS 服务器的管理访问权限，攻击者就会通过编辑C: Windows AD FS Microsoft.IdentityServer.Servicehost.exe.config将恶意 DLL 加载到 ADFS 进程中用来指定不同的公共令牌以控制在 ADFS 进程启动时加载的内容。