MagicWeb البرامج الضارة

يعد MagicWeb Malware تهديدًا قويًا آخر لوحظ كجزء من ترسانة التهديد لمجموعة APT (التهديد المستمر المتقدم) التي ترعاها الدولة والمعروفة باسم APT29 و NOBELLIUM و Cozy Bear. يُعتقد أن NOBELLIUM لها علاقات مع روسيا وأن أهدافها النموذجية كانت الحكومة والمنظمات المهمة الأخرى من أوروبا وآسيا والولايات المتحدة. يسمح MagecWeb Malware للمهاجمين بإخفاء وجودهم على شبكة الضحية. تم إصدار تفاصيل حول البرامج الضارة وطريقة عملها في تقرير من Microsoft.

وفقًا لنتائج باحثي Microsoft ، يمثل MagicWeb تطورًا لأداة البرامج الضارة التي تم تحديدها مسبقًا والمعروفة باسم FoggyWeb . يمكن للقراصنة استخدام التهديد الأقدم لتجميع قواعد بيانات التكوين لخوادم ADFS (خدمات اتحاد الدليل النشط) التي تم اختراقها ، أو فك تشفير شهادات توقيع الرمز المميز / فك التشفير المميز ، أو جلب حمولات إضافية من الأوامر والتحكم (C2 ، C&C) للعملية ) الخادم ونشرها على الأنظمة المصابة.

عندما يتعلق الأمر بـ MagicWeb على وجه التحديد ، فإن التهديد يحدد موقع DLL الشرعي ('Microsoft.IdentityServer.Diagnostics.dll') الذي يستخدمه ADFS مع إصدار تالف جديد قادر على معالجة شهادات المصادقة الخاصة بالمستخدمين. في الأساس ، سيتمكن المتسللون من NOBELLIUM من التحقق من صحة المصادقة لأي حساب مستخدم على الخادم ، وإثبات الثبات داخل الشبكة المخترقة ولديهم الكثير من الفرص للانتشار إلى أبعد من ذلك. وتجدر الإشارة إلى أنه لكي يعمل بشكل صحيح ، يتطلب MagicWeb أن يمتلك المجرمون الإلكترونيون بالفعل وصولاً إداريًا إلى خادم ADFS الهدف. مايكروسوفت تحذر من أن واحدة من هذه الحالات قد تم تحديدها بالفعل.