मैजिकवेब मैलवेयर
मैजिकवेब मालवेयर राज्य द्वारा प्रायोजित एपीटी (एडवांस्ड पर्सिस्टेंट थ्रेट) समूह के खतरनाक शस्त्रागार के हिस्से के रूप में मनाया जाने वाला एक और शक्तिशाली खतरा है जिसे एपीटी 29, नोबेलियम और कोज़ी बियर के नाम से जाना जाता है। ऐसा माना जाता है कि नोबेलियम के रूस से संबंध हैं और उनके विशिष्ट लक्ष्य यूरोप, एशिया और अमेरिका के सरकार और अन्य महत्वपूर्ण संगठन रहे हैं। MagecWeb मैलवेयर हमलावरों को पीड़ित के नेटवर्क पर अपनी उपस्थिति छिपाने की अनुमति देता है। Microsoft की एक रिपोर्ट में मैलवेयर और इसके संचालन के तरीके के बारे में विवरण जारी किया गया था।
माइक्रोसॉफ्ट के शोधकर्ताओं के निष्कर्षों के मुताबिक, मैजिकवेब पहले से पहचाने गए मैलवेयर टूल के विकास का प्रतिनिधित्व करता है जिसे फोगीवेब के नाम से जाना जाता है। हैकर पुराने खतरे का इस्तेमाल टूटे हुए ADFS (एक्टिव डायरेक्ट्री फेडरेशन सर्विसेज) सर्वर के कॉन्फ़िगरेशन डेटाबेस को इकट्ठा करने, चुने हुए टोकन-हस्ताक्षर/टोकन-डिक्रिप्शन प्रमाणपत्रों को डिक्रिप्ट करने, या ऑपरेशन के कमांड-एंड-कंट्रोल (C2, C&C) से अतिरिक्त पेलोड प्राप्त करने के लिए कर सकते हैं। ) सर्वर और उन्हें संक्रमित सिस्टम पर तैनात करें।
जब विशेष रूप से मैजिकवेब की बात आती है, तो खतरा एडीएफएस द्वारा उपयोग किए गए वैध डीएलएल ('Microsoft.IdentityServer.Diagnostics.dll') का पता लगाता है और उपयोगकर्ताओं के प्रमाणीकरण प्रमाणपत्रों में हेरफेर करने में सक्षम एक नए दूषित संस्करण के साथ बदल देता है। संक्षेप में, NOBELLIUM हैकर्स सर्वर पर किसी भी उपयोगकर्ता खाते के लिए प्रमाणीकरण को मान्य करने में सक्षम होंगे, भंग किए गए नेटवर्क के भीतर दृढ़ता स्थापित करेंगे और आगे भी फैलने के बहुत सारे अवसर होंगे। यह ध्यान दिया जाना चाहिए कि ठीक से काम करने के लिए, मैजिकवेब की आवश्यकता है कि साइबर अपराधियों के पास पहले से ही लक्षित एडीएफएस सर्वर तक व्यवस्थापक पहुंच हो। माइक्रोसॉफ्ट ने चेतावनी दी है कि ऐसा एक मामला पहले ही पहचाना जा चुका है।
