MagicWeb Malware

بدافزار MagicWeb یکی دیگر از تهدیدهای قوی است که به عنوان بخشی از زرادخانه تهدیدکننده گروه APT (تهدید پایدار پیشرفته) تحت حمایت دولتی موسوم به APT29 ، NOBELLIUM و Cozy Bear مشاهده شده است. اعتقاد بر این است که NOBELLIUM با روسیه ارتباط دارد و اهداف معمول آنها دولت و سایر سازمان های مهم اروپا، آسیا و ایالات متحده بوده اند. بدافزار MagecWeb به مهاجمان اجازه می دهد تا حضور خود را در شبکه قربانی پنهان کنند. جزئیات مربوط به بدافزار و نحوه عملکرد آن در گزارشی توسط مایکروسافت منتشر شد.

طبق یافته‌های محققان مایکروسافت، MagicWeb تکامل یک ابزار بدافزار شناسایی شده قبلی به نام FoggyWeb را نشان می‌دهد. هکرها می‌توانند از تهدید قدیمی‌تر برای جمع‌آوری پایگاه‌های داده پیکربندی سرورهای ADFS (سرویس‌های فدراسیون اکتیو دایرکتوری) نقض‌شده، رمزگشایی گواهی‌های امضای/رمزگشایی نشانه‌های انتخابی، یا دریافت بارهای اضافی از Command-and-Control عملیات (C2, C&C) استفاده کنند. ) سرور و استقرار آنها در سیستم های آلوده.

وقتی صحبت از MagicWeb به‌طور خاص می‌شود، تهدید یک DLL قانونی ("Microsoft.IdentityServer.Diagnostics.dll") مورد استفاده توسط ADFS را با یک نسخه جدید خراب که قادر به دستکاری گواهی‌های احراز هویت کاربران است، پیدا کرده و جایگزین می‌کند. در اصل، هکرهای NOBELLIUM قادر خواهند بود تا احراز هویت را برای هر حساب کاربری در سرور تأیید کنند، پایداری را در شبکه نقض شده ایجاد کنند و فرصت‌های زیادی برای گسترش بیشتر داشته باشند. لازم به ذکر است که برای عملکرد صحیح، مجیک وب نیاز دارد که مجرمان سایبری از قبل دسترسی ادمین به سرور ADFS هدف داشته باشند. مایکروسافت هشدار می دهد که یکی از این موارد قبلا شناسایی شده است.