Web Analytics
واتس آب ، فيسبوك ، أنترنت ، شروحات تقنية حصرية - المحترف مايكروسوفت تكشف عن برامج ضارة جديدة بعد الاختراق

مايكروسوفت تكشف عن برامج ضارة جديدة بعد الاختراق


تم ربط عامل التهديد الذي يقف وراء هجوم سلسلة التوريد SolarWinds ببرنامج ضار آخر "شديد الاستهداف" بعد الاستغلال يمكن استخدامه للحفاظ على الوصول المستمر إلى البيئات المعرضة للخطر.

هذا التطوير، الذي أطلق عليه اسم MagicWeb من قبل فرق استخبارات التهديدات في Microsoft، يؤكد التزام Nobelium بتطوير القدرات المصممة لهذا الغرض والحفاظ عليها.

Nobelium هو لقب عملاق التكنولوجيا لمجموعة من الأنشطة التي ظهرت للضوء مع الهجوم المتطور الذي استهدف SolarWinds في ديسمبر 2020، والذي يتداخل مع مجموعة القرصنة الروسية للدولة القومية المعروفة على نطاق واسع باسم APT29 أو Cozy Bear أو The Dukes.

وقالت مايكروسوفت: "لا يزال Nobelium نشطًا للغاية، حيث ينفذ حملات متعددة بالتوازي تستهدف المنظمات الحكومية والمنظمات غير الحكومية والمنظمات الحكومية الدولية (IGOs) ومراكز الفكر في جميع أنحاء الولايات المتحدة وأوروبا وآسيا الوسطى".

تم تقييم MagicWeb، الذي يشترك في أوجه التشابه مع أداة أخرى تسمى FoggyWeb، على أنه تم نشره للحفاظ على الوصول واستباق الإخلاء أثناء جهود الإصلاح، ولكن فقط بعد الحصول على وصول مميز للغاية إلى بيئة والانتقال بشكل جانبي إلى خادم AD FS.

بينما يأتي FoggyWeb بإمكانيات متخصصة لتقديم حمولات إضافية وسرقة المعلومات الحساسة من خوادم خدمات اتحاد الدليل النشط ( AD FS )، فإن MagicWeb عبارة عن ملف DLL خادع (إصدار خلفي من "Microsoft.IdentityServer.Diagnostics.dll") يسهل الوصول السري إلى نظام AD FS من خلال تجاوز المصادقة.

قالت Microsoft: "تعتمد قدرة Nobelium على نشر MagicWeb على إمكانية الوصول إلى بيانات الاعتماد ذات الامتيازات العالية التي تتمتع بوصول إداري إلى خوادم AD FS ، مما يمنحهم القدرة على تنفيذ أي أنشطة ضارة يريدون القيام بها على الأنظمة التي يمكنهم الوصول إليها".


نموذج الاتصال

الاسم

بريد إلكتروني *

رسالة *