មេរោគ MagicWeb

MagicWeb Malware គឺជាការគំរាមកំហែងដ៏ខ្លាំងក្លាមួយផ្សេងទៀតដែលត្រូវបានគេសង្កេតឃើញជាផ្នែកមួយនៃឃ្លាំងអាវុធគំរាមកំហែងនៃក្រុម APT (Advanced Persistent Threat) ដែលឧបត្ថម្ភដោយរដ្ឋដែលត្រូវបានគេស្គាល់ថា APT29 , NOBELLIUM និង Cozy Bear ។ វាត្រូវបានគេជឿថា NOBELLIUM មានទំនាក់ទំនងជាមួយរុស្ស៊ី ហើយគោលដៅធម្មតារបស់ពួកគេគឺរដ្ឋាភិបាល និងអង្គការសំខាន់ៗផ្សេងទៀតមកពីអឺរ៉ុប អាស៊ី និងសហរដ្ឋអាមេរិក។ មេរោគ MagecWeb អនុញ្ញាតឱ្យអ្នកវាយប្រហារលាក់វត្តមានរបស់ពួកគេនៅលើបណ្តាញរបស់ជនរងគ្រោះ។ ព័ត៌មានលម្អិតអំពីមេរោគ និងវិធីដែលវាដំណើរការត្រូវបានចេញផ្សាយនៅក្នុងរបាយការណ៍ដោយ Microsoft។

យោងតាមការរកឃើញរបស់អ្នកស្រាវជ្រាវរបស់ក្រុមហ៊ុន Microsoft MagicWeb តំណាងឱ្យការវិវត្តន៍នៃឧបករណ៍មេរោគដែលបានកំណត់អត្តសញ្ញាណពីមុនដែលគេស្គាល់ថា FoggyWeb ។ ពួក Hacker អាចប្រើការគំរាមកំហែងចាស់ដើម្បីប្រមូលមូលដ្ឋានទិន្នន័យនៃការកំណត់រចនាសម្ព័ន្ធនៃម៉ាស៊ីនមេ ADFS (Active Directory Federation Services) ដែលបានបំពាន ឌិគ្រីបវិញ្ញាបនបត្រ token-signing/token-decryption ដែលបានជ្រើសរើស ឬទាញយកបន្ទុកបន្ថែមពី Command-and-Control នៃប្រតិបត្តិការ (C2, C&C ) server និងដាក់ពង្រាយពួកវាទៅកាន់ប្រព័ន្ធមេរោគ។

នៅពេលដែលវាមកដល់ MagicWeb ជាពិសេស ការគំរាមកំហែងកំណត់ទីតាំង និងជំនួស DLL ស្របច្បាប់ ('Microsoft.IdentityServer.Diagnostics.dll') ដែលប្រើដោយ ADFS ជាមួយនឹងកំណែខូចថ្មីមួយដែលមានសមត្ថភាពរៀបចំវិញ្ញាបនបត្រផ្ទៀងផ្ទាត់របស់អ្នកប្រើប្រាស់។ សរុបមក ពួក Hacker NOBELLIUM នឹងអាចផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវសម្រាប់គណនីអ្នកប្រើប្រាស់ណាមួយនៅលើម៉ាស៊ីនមេ បង្កើតការបន្តនៅក្នុងបណ្តាញដែលបំពាន និងមានឱកាសជាច្រើនដើម្បីផ្សព្វផ្សាយបន្ថែមទៀត។ គួរកត់សំគាល់ថា ដើម្បីដំណើរការបានត្រឹមត្រូវ MagicWeb តម្រូវឱ្យឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតមានសិទ្ធិគ្រប់គ្រងទៅកាន់ម៉ាស៊ីនមេ ADFS គោលដៅរួចហើយ។ ក្រុមហ៊ុន Microsoft ព្រមានថាករណីបែបនេះមួយត្រូវបានកំណត់អត្តសញ្ញាណរួចហើយ។