MagicWeb मालवेयर

MagicWeb Malware अर्को शक्तिशाली खतरा हो जुन राज्य-प्रायोजित APT (Advanced Persistent Threat) समूह APT29 , NOBELLIUM र Cozy Bear को रूपमा चिनिने धम्कीपूर्ण शस्त्रागारको भागको रूपमा देखाइएको छ। यो विश्वास गरिन्छ कि नोबेलियमको रुससँग सम्बन्ध छ र तिनीहरूको विशिष्ट लक्ष्य युरोप, एसिया र अमेरिकाका सरकार र अन्य महत्वपूर्ण संस्थाहरू थिए। MagecWeb मालवेयरले आक्रमणकारीहरूलाई पीडितको नेटवर्कमा आफ्नो उपस्थिति लुकाउन अनुमति दिन्छ। मालवेयर र यसले सञ्चालन गर्ने तरिका बारे विवरण माइक्रोसफ्ट द्वारा एक रिपोर्टमा जारी गरिएको थियो।

माइक्रोसफ्टका अन्वेषकहरूको निष्कर्ष अनुसार, MagicWeb ले पहिले पहिचान गरिएको मालवेयर उपकरणको विकासलाई प्रतिनिधित्व गर्दछ जुन FoggyWeb भनिन्छ। ह्याकरहरूले पुरानो खतरालाई ADFS (एक्टिभ डाइरेक्टरी फेडरेसन सेवाहरू) सर्भरहरूको कन्फिगरेसन डाटाबेसहरू सङ्कलन गर्न, छनौट गरिएको टोकन-साइनिङ/टोकन-डिक्रिप्शन प्रमाणपत्रहरू डिक्रिप्ट गर्न वा अपरेसनको कमाण्ड-एण्ड-कन्ट्रोल (C2, C&C) बाट थप पेलोडहरू ल्याउन प्रयोग गर्न सक्छन्। ) सर्भर र तिनीहरूलाई संक्रमित प्रणालीहरूमा तैनात गर्नुहोस्।

जब यो विशेष रूपमा MagicWeb मा आउँछ, खतराले ADFS द्वारा प्रयोग गरिएको वैध DLL ('Microsoft.IdentityServer.Diagnostics.dll') लाई प्रयोगकर्ताहरूको प्रमाणीकरण प्रमाणपत्रहरू हेरफेर गर्न सक्षम नयाँ भ्रष्ट संस्करणको साथ पत्ता लगाउँछ र प्रतिस्थापन गर्दछ। संक्षेपमा, NOBELLIUM ह्याकरहरूले सर्भरमा कुनै पनि प्रयोगकर्ता खाताको लागि प्रमाणीकरण प्रमाणीकरण गर्न सक्षम हुनेछन्, उल्लंघन गरिएको नेटवर्क भित्र दृढता स्थापित गर्न र अझ फैलिने प्रशस्त अवसरहरू छन्। यो ध्यान दिनुपर्छ कि ठीकसँग काम गर्न, MagicWeb लाई साइबर अपराधीहरूले पहिले नै लक्षित ADFS सर्भरमा प्रशासक पहुँच राख्न आवश्यक छ। माइक्रोसफ्टले चेतावनी दिन्छ कि यस्तो एउटा केस पहिले नै पहिचान भइसकेको छ।