MagicWeb மால்வேர்
MagicWeb மால்வேர் என்பது APT29 , NOBELLIUM மற்றும் Cozy Bear என அழைக்கப்படும் APT (மேம்பட்ட நிரந்தர அச்சுறுத்தல்) குழுவின் அச்சுறுத்தும் ஆயுதக் களஞ்சியத்தின் ஒரு பகுதியாகக் காணப்பட்ட மற்றொரு சக்திவாய்ந்த அச்சுறுத்தலாகும். NOBELLIUM க்கு ரஷ்யாவுடன் தொடர்பு இருப்பதாக நம்பப்படுகிறது மற்றும் அவர்களின் வழக்கமான இலக்குகள் அரசாங்கம் மற்றும் ஐரோப்பா, ஆசியா மற்றும் அமெரிக்காவைச் சேர்ந்த பிற முக்கிய அமைப்புகளாகும். MagecWeb மால்வேர் தாக்குபவர்கள் பாதிக்கப்பட்டவரின் நெட்வொர்க்கில் தங்கள் இருப்பை மறைக்க அனுமதிக்கிறது. மால்வேர் மற்றும் அது செயல்படும் விதம் பற்றிய விவரங்கள் மைக்ரோசாப்ட் அறிக்கையில் வெளியிடப்பட்டுள்ளன.
மைக்ரோசாப்ட் இன் ஆராய்ச்சியாளர்களின் கண்டுபிடிப்புகளின்படி, MagicWeb என்பது FoggyWeb எனப்படும் முன்னர் அடையாளம் காணப்பட்ட தீம்பொருள் கருவியின் பரிணாமத்தை பிரதிபலிக்கிறது. மீறப்பட்ட ADFS (ஆக்டிவ் டைரக்டரி ஃபெடரேஷன் சர்வீசஸ்) சர்வர்களின் உள்ளமைவு தரவுத்தளங்களை சேகரிக்க, தேர்ந்தெடுக்கப்பட்ட டோக்கன்-கையொப்பமிடுதல்/டோக்கன்-டிக்ரிப்ஷன் சான்றிதழ்களை மறைகுறியாக்க அல்லது செயல்பாட்டின் கட்டளை மற்றும் கட்டுப்பாட்டிலிருந்து (C2, C&C) கூடுதல் பேலோடுகளைப் பெற ஹேக்கர்கள் பழைய அச்சுறுத்தலைப் பயன்படுத்தலாம். ) சேவையகம் மற்றும் பாதிக்கப்பட்ட அமைப்புகளுக்கு அவற்றை வரிசைப்படுத்தவும்.
குறிப்பாக MagicWebக்கு வரும்போது, அச்சுறுத்தல் ADFS ஆல் பயன்படுத்தப்படும் முறையான DLL ('Microsoft.IdentityServer.Diagnostics.dll') ஐ கண்டறிந்து, பயனர்களின் அங்கீகாரச் சான்றிதழ்களைக் கையாளும் திறன் கொண்ட புதிய சிதைந்த பதிப்பைக் கொண்டு மாற்றுகிறது. சாராம்சத்தில், NOBELLIUM ஹேக்கர்கள் சர்வரில் உள்ள எந்தவொரு பயனர் கணக்கிற்கும் அங்கீகாரத்தை சரிபார்க்க முடியும், மீறப்பட்ட நெட்வொர்க்கிற்குள் தொடர்ந்து நிலைநிறுத்த முடியும் மற்றும் மேலும் மேலும் பரவுவதற்கு ஏராளமான வாய்ப்புகள் உள்ளன. சரியாகச் செயல்பட, MagicWeb ஆனது சைபர் கிரைமினல்கள் ஏற்கனவே இலக்கு ADFS சேவையகத்திற்கான நிர்வாக அணுகலைக் கொண்டிருக்க வேண்டும் என்பதைக் கவனத்தில் கொள்ள வேண்டும். இதுபோன்ற ஒரு வழக்கு ஏற்கனவே அடையாளம் காணப்பட்டுள்ளதாக மைக்ரோசாப்ட் எச்சரிக்கிறது.