ম্যাজিকওয়েব রহস্য নোবেলিয়াম আক্রমণকারীর পরিশীলিততা হাইলাইট করে

মাইক্রোসফ্ট অ্যাক্টিভ ডিরেক্টরি ফেডারেটেড সার্ভিসেস (এডি এফএস) এর জন্য একটি অত্যাধুনিক প্রমাণীকরণ বাইপাস ট্র্যাক করেছে, যা রাশিয়া-সংযুক্ত নোবেলিয়াম গ্রুপ দ্বারা অগ্রণী। 

ম্যালওয়্যার যা প্রমাণীকরণ বাইপাসের অনুমতি দেয় - যাকে মাইক্রোসফ্ট ম্যাজিকওয়েব বলে - নোবেলিয়ামকে নামহীন গ্রাহকের AD FS সার্ভারে একটি ব্যাকডোর ইমপ্লান্ট করার ক্ষমতা দেয়, তারপরে সাধারণ প্রমাণীকরণ প্রক্রিয়াটিকে বাইপাস করতে বিশেষভাবে তৈরি শংসাপত্রগুলি ব্যবহার করে৷ মাইক্রোসফ্ট ঘটনার প্রতিক্রিয়াকারীরা প্রমাণীকরণ প্রবাহের ডেটা সংগ্রহ করেছে, আক্রমণকারীর দ্বারা ব্যবহৃত প্রমাণীকরণ শংসাপত্রগুলি ক্যাপচার করেছে এবং তারপরে ব্যাকডোর কোডটি বিপরীত-ইঞ্জিনিয়ার করেছে৷

মাইক্রোসফটের ডিটেকশন অ্যান্ড রেসপন্স টিম (DART) এই আট তদন্তকারীকে "কীভাবে করা হয়েছে" হিসাবে একটি হুডুনিটের উপর এত বেশি মনোযোগ দেওয়া হয়নি। তার ইনসিডেন্ট রেসপন্স সাইবারট্যাক সিরিজ প্রকাশনায় বলা হয়েছে.

"নোবেলিয়ামের মতো জাতি-রাষ্ট্র আক্রমণকারীদের তাদের পৃষ্ঠপোষক থেকে আপাতদৃষ্টিতে সীমাহীন আর্থিক এবং প্রযুক্তিগত সহায়তা রয়েছে, সেইসাথে অনন্য, আধুনিক হ্যাকিং কৌশল, কৌশল এবং পদ্ধতি (TTPs) অ্যাক্সেস রয়েছে," কোম্পানিটি বলেছে। "অধিকাংশ খারাপ অভিনেতাদের থেকে ভিন্ন, নোবেলিয়াম তাদের স্পর্শ করা প্রায় প্রতিটি মেশিনে তাদের ট্রেডক্রাফ্ট পরিবর্তন করে।"

আক্রমণটি এপিটি গোষ্ঠীগুলির ক্রমবর্ধমান পরিশীলিততার উপর জোর দেয়, যা ক্রমবর্ধমানভাবে লক্ষ্যবস্তু প্রযুক্তি সরবরাহ চেইনগুলিকে লক্ষ্য করে। যেমন সোলার উইন্ডস লঙ্ঘন, এবং পরিচয় সিস্টেম. 

সাইবার দাবায় একটি "মাস্টারক্লাস"

ম্যাজিকওয়েব একটি AD FS সিস্টেমে প্রশাসনিক অ্যাক্সেস লাভ করে নেটওয়ার্কের মাধ্যমে পার্শ্বীয়ভাবে সরানোর জন্য অত্যন্ত সুবিধাপ্রাপ্ত সার্টিফিকেশন ব্যবহার করে। AD FS হল একটি আইডেন্টিটি ম্যানেজমেন্ট প্ল্যাটফর্ম যা অন-প্রিমিসেস এবং থার্ড-পার্টি ক্লাউড সিস্টেম জুড়ে একক সাইন-অন (SSO) বাস্তবায়নের একটি উপায় অফার করে। নোবেলিয়াম গ্রুপ গ্লোবাল অ্যাসেম্বলি ক্যাশে ইনস্টল করা ব্যাকডোর ডাইনামিক লিংক লাইব্রেরির (DLL) সাথে ম্যালওয়্যারটিকে যুক্ত করেছে, যা .NET পরিকাঠামোর একটি অস্পষ্ট অংশ, মাইক্রোসফ্ট জানিয়েছে।

ম্যাজিকওয়েব, যা মাইক্রোসফ্ট প্রথম 2022 সালের আগস্টে বর্ণনা করেছিল, পূর্ববর্তী শোষণ-পরবর্তী সরঞ্জামগুলিতে তৈরি করা হয়েছিল, যেমন FoggyWeb, যা AD FS সার্ভার থেকে শংসাপত্র চুরি করতে পারে। এগুলি দিয়ে সজ্জিত, আক্রমণকারীরা সাংগঠনিক অবকাঠামোর গভীরে তাদের পথ তৈরি করতে পারে, পথে ডেটা বের করতে পারে, অ্যাকাউন্টগুলি ভাঙতে পারে এবং ব্যবহারকারীদের ছদ্মবেশী করতে পারে।

অত্যাধুনিক আক্রমণের সরঞ্জাম এবং কৌশলগুলি উন্মোচনের জন্য প্রয়োজনীয় প্রচেষ্টার স্তরটি দেখায় যে আক্রমণকারীদের উপরের স্তরের কোম্পানিগুলিকে তাদের সর্বোত্তম প্রতিরক্ষা খেলতে হবে, মাইক্রোসফ্ট অনুসারে।

"অধিকাংশ আক্রমণকারীরা চেকারদের একটি চিত্তাকর্ষক খেলা খেলে, কিন্তু ক্রমবর্ধমানভাবে আমরা দেখতে পাই যে উন্নত ক্রমাগত হুমকি অভিনেতারা দাবা খেলার একটি মাস্টারক্লাস-স্তরের খেলা খেলছেন," কোম্পানিটি বলেছে। "আসলে, নোবেলিয়াম অত্যন্ত সক্রিয় রয়েছে, সরকারী সংস্থা, বেসরকারি সংস্থা (এনজিও), আন্তঃসরকারি সংস্থা (আইজিও), এবং মার্কিন যুক্তরাষ্ট্র, ইউরোপ এবং মধ্য এশিয়া জুড়ে থিঙ্ক ট্যাঙ্কগুলিকে লক্ষ্য করে একাধিক প্রচারণা চালাচ্ছে।"

আইডেন্টিটি সিস্টেমের জন্য বিশেষাধিকার সীমিত করুন

কোম্পানিগুলিকে AD FS সিস্টেম এবং সমস্ত পরিচয় প্রদানকারীকে (IdPs) ডোমেন কন্ট্রোলার হিসাবে একই সুরক্ষামূলক স্তরে (Tier 0) বিশেষ সুবিধাপ্রাপ্ত সম্পদ হিসাবে বিবেচনা করতে হবে, মাইক্রোসফ্ট তার ঘটনা প্রতিক্রিয়া পরামর্শে বলেছে। এই ধরনের ব্যবস্থাগুলি সীমিত করে যে সেই হোস্টগুলি কে অ্যাক্সেস করতে পারে এবং সেই হোস্টগুলি অন্যান্য সিস্টেমে কী করতে পারে। 

উপরন্তু, সাইবার আক্রমণকারীদের জন্য অপারেশনের খরচ বাড়ায় এমন যেকোনো প্রতিরক্ষামূলক কৌশল আক্রমণ প্রতিরোধে সাহায্য করতে পারে, মাইক্রোসফ্ট জানিয়েছে। সংস্থাগুলিকে সমস্ত সংস্থার সমস্ত অ্যাকাউন্ট জুড়ে মাল্টিফ্যাক্টর অথেনটিকেশন (MFA) ব্যবহার করা উচিত এবং সম্ভাব্য সন্দেহজনক ইভেন্টগুলিতে দৃশ্যমানতা পাওয়ার জন্য প্রমাণীকরণ ডেটা প্রবাহের নিরীক্ষণ করা উচিত।

• এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
• প্লেটোব্লকচেন। Web3 মেটাভার্স ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
• উত্স: https://www.darkreading.com/vulnerabilities-threats/magicweb-mystery-highlights-nobelium-attacker-sophistication