MagicWeb Malware
بدافزار MagicWeb یکی دیگر از تهدیدهای قوی است که به عنوان بخشی از زرادخانه تهدیدکننده گروه APT (تهدید پایدار پیشرفته) تحت حمایت دولتی موسوم به APT29 ، NOBELLIUM و Cozy Bear مشاهده شده است. اعتقاد بر این است که NOBELLIUM با روسیه ارتباط دارد و اهداف معمول آنها دولت و سایر سازمان های مهم اروپا، آسیا و ایالات متحده بوده اند. بدافزار MagecWeb به مهاجمان اجازه می دهد تا حضور خود را در شبکه قربانی پنهان کنند. جزئیات مربوط به بدافزار و نحوه عملکرد آن در گزارشی توسط مایکروسافت منتشر شد.
طبق یافتههای محققان مایکروسافت، MagicWeb تکامل یک ابزار بدافزار شناسایی شده قبلی به نام FoggyWeb را نشان میدهد. هکرها میتوانند از تهدید قدیمیتر برای جمعآوری پایگاههای داده پیکربندی سرورهای ADFS (سرویسهای فدراسیون اکتیو دایرکتوری) نقضشده، رمزگشایی گواهیهای امضای/رمزگشایی نشانههای انتخابی، یا دریافت بارهای اضافی از Command-and-Control عملیات (C2, C&C) استفاده کنند. ) سرور و استقرار آنها در سیستم های آلوده.
وقتی صحبت از MagicWeb بهطور خاص میشود، تهدید یک DLL قانونی ("Microsoft.IdentityServer.Diagnostics.dll") مورد استفاده توسط ADFS را با یک نسخه جدید خراب که قادر به دستکاری گواهیهای احراز هویت کاربران است، پیدا کرده و جایگزین میکند. در اصل، هکرهای NOBELLIUM قادر خواهند بود تا احراز هویت را برای هر حساب کاربری در سرور تأیید کنند، پایداری را در شبکه نقض شده ایجاد کنند و فرصتهای زیادی برای گسترش بیشتر داشته باشند. لازم به ذکر است که برای عملکرد صحیح، مجیک وب نیاز دارد که مجرمان سایبری از قبل دسترسی ادمین به سرور ADFS هدف داشته باشند. مایکروسافت هشدار می دهد که یکی از این موارد قبلا شناسایی شده است.