MagicWeb మాల్వేర్

MagicWeb మాల్వేర్ అనేది APT29 , NOBELLIUM మరియు Cozy Bear అని పిలవబడే రాష్ట్ర-ప్రాయోజిత APT (అడ్వాన్స్‌డ్ పెర్సిస్టెంట్ థ్రెట్) సమూహం యొక్క బెదిరింపు ఆయుధశాలలో భాగంగా గమనించిన మరొక శక్తివంతమైన ముప్పు. నోబెల్లియం రష్యాతో సంబంధాలను కలిగి ఉందని మరియు వారి సాధారణ లక్ష్యాలు యూరప్, ఆసియా మరియు US నుండి ప్రభుత్వం మరియు ఇతర క్లిష్టమైన సంస్థలు అని నమ్ముతారు. MagecWeb మాల్వేర్ దాడి చేసేవారిని బాధితుల నెట్‌వర్క్‌లో వారి ఉనికిని దాచడానికి అనుమతిస్తుంది. మాల్వేర్ మరియు అది పనిచేసే విధానం గురించిన వివరాలను మైక్రోసాఫ్ట్ ఒక నివేదికలో విడుదల చేసింది.

మైక్రోసాఫ్ట్ పరిశోధకుల పరిశోధనల ప్రకారం, MagicWeb అనేది గతంలో గుర్తించబడిన మాల్వేర్ సాధనం యొక్క పరిణామాన్ని ఫోగీవెబ్ అని పిలుస్తారు. ఉల్లంఘించిన ADFS (యాక్టివ్ డైరెక్టరీ ఫెడరేషన్ సర్వీసెస్) సర్వర్‌ల కాన్ఫిగరేషన్ డేటాబేస్‌లను సేకరించడానికి, ఎంచుకున్న టోకెన్-సైనింగ్/టోకెన్-డిక్రిప్షన్ సర్టిఫికేట్‌లను డీక్రిప్ట్ చేయడానికి లేదా ఆపరేషన్ యొక్క కమాండ్-అండ్-కంట్రోల్ (C2, C&C) నుండి అదనపు పేలోడ్‌లను పొందడానికి హ్యాకర్లు పాత ముప్పును ఉపయోగించవచ్చు. ) సర్వర్ మరియు వాటిని సోకిన సిస్టమ్‌లకు అమలు చేయండి.

ప్రత్యేకంగా MagicWeb విషయానికి వస్తే, ముప్పు వినియోగదారుల ప్రామాణీకరణ సర్టిఫికేట్‌లను మార్చగల సామర్థ్యం ఉన్న కొత్త పాడైన సంస్కరణతో ADFS ఉపయోగించే చట్టబద్ధమైన DLL ('Microsoft.IdentityServer.Diagnostics.dll')ని గుర్తించి భర్తీ చేస్తుంది. సారాంశంలో, NOBELLIUM హ్యాకర్లు సర్వర్‌లోని ఏదైనా వినియోగదారు ఖాతా కోసం ప్రామాణీకరణను ధృవీకరించగలరు, ఉల్లంఘించిన నెట్‌వర్క్‌లో స్థిరత్వాన్ని ఏర్పరచగలరు మరియు మరింత విస్తరించడానికి పుష్కలంగా అవకాశాలను కలిగి ఉంటారు. సరిగ్గా పని చేయడానికి, MagicWebకి సైబర్ నేరస్థులు ఇప్పటికే లక్ష్య ADFS సర్వర్‌కు నిర్వాహక ప్రాప్యతను కలిగి ఉండాలని గమనించాలి. మైక్రోసాఫ్ట్ అటువంటి కేసు ఇప్పటికే గుర్తించబడిందని హెచ్చరించింది.