ম্যাজিকওয়েব ম্যালওয়্যার
ম্যাজিকওয়েব ম্যালওয়্যার হল আরেকটি শক্তিশালী হুমকি যা রাষ্ট্র-স্পন্সরকৃত APT (অ্যাডভান্সড পারসিসটেন্ট থ্রেট) গ্রুপের হুমকিমূলক অস্ত্রাগারের অংশ হিসাবে পরিলক্ষিত হয় যা APT29 , NOBELLIUM এবং Cozy Bear নামে পরিচিত। এটা বিশ্বাস করা হয় যে নোবেলিয়ামের রাশিয়ার সাথে সম্পর্ক রয়েছে এবং তাদের সাধারণ লক্ষ্য ছিল ইউরোপ, এশিয়া এবং মার্কিন যুক্তরাষ্ট্রের সরকার এবং অন্যান্য সমালোচনামূলক সংস্থা। MagecWeb ম্যালওয়্যার আক্রমণকারীদের শিকারের নেটওয়ার্কে তাদের উপস্থিতি লুকানোর অনুমতি দেয়। ম্যালওয়্যার সম্পর্কে বিশদ বিবরণ এবং এটি যেভাবে কাজ করে তা মাইক্রোসফ্টের একটি প্রতিবেদনে প্রকাশ করা হয়েছে।
মাইক্রোসফ্টের গবেষকদের অনুসন্ধান অনুসারে, ম্যাজিকওয়েব একটি পূর্বে চিহ্নিত ম্যালওয়্যার টুলের বিবর্তনকে প্রতিনিধিত্ব করে যা FoggyWeb নামে পরিচিত। হ্যাকাররা ADFS (Active Directory Federation Services) সার্ভারের কনফিগারেশন ডেটাবেস সংগ্রহ করতে, নির্বাচিত টোকেন-সাইনিং/টোকেন-ডিক্রিপশন শংসাপত্রগুলি ডিক্রিপ্ট করতে, বা অপারেশনের কমান্ড-এন্ড-কন্ট্রোল (C2, C&C) থেকে অতিরিক্ত পেলোড আনতে পুরানো হুমকি ব্যবহার করতে পারে। ) সার্ভার এবং সংক্রামিত সিস্টেমে তাদের স্থাপন.
বিশেষভাবে ম্যাজিকওয়েবের ক্ষেত্রে, হুমকিটি ADFS দ্বারা ব্যবহৃত একটি বৈধ DLL ('Microsoft.IdentityServer.Diagnostics.dll') সনাক্ত করে এবং প্রতিস্থাপন করে যা ব্যবহারকারীদের প্রমাণীকরণ শংসাপত্রগুলিকে ম্যানিপুলেট করতে সক্ষম একটি নতুন দূষিত সংস্করণ সহ। মোটকথা, নোবেলিয়াম হ্যাকাররা সার্ভারে যেকোনো ব্যবহারকারীর অ্যাকাউন্টের জন্য প্রমাণীকরণ যাচাই করতে সক্ষম হবে, লঙ্ঘিত নেটওয়ার্কের মধ্যে অধ্যবসায় স্থাপন করতে পারবে এবং আরও ছড়িয়ে পড়ার প্রচুর সুযোগ পাবে। এটি লক্ষ করা উচিত যে সঠিকভাবে কাজ করার জন্য, ম্যাজিকওয়েবের প্রয়োজন যে সাইবার অপরাধীদের ইতিমধ্যেই লক্ষ্য ADFS সার্ভারে অ্যাডমিন অ্যাক্সেস রয়েছে৷ মাইক্রোসফ্ট সতর্ক করেছে যে এমন একটি কেস ইতিমধ্যে সনাক্ত করা হয়েছে।
