【安全资讯】Nobelium组织开发了MagicWeb后利用工具

来自俄罗斯的Nobelium APT组织（又名APT29、Cozy Bear）开发了一种后利用工具“MagicWeb”，攻击者可以利用该工具来维持对受损环境的持续访问。MagicWeb 工具将AD FS使用的合法 DLL 替换为恶意版本，以操纵用户身份验证证书，并修改受感染服务器生成的令牌中传递的声明。ADFS 身份验证过程如下：