MagicWeb اسرار نوبیلیم حملہ آور کی نفاست پر روشنی ڈالتا ہے۔

مائیکروسافٹ نے ایکٹو ڈائرکٹری فیڈریٹڈ سروسز (AD FS) کے لیے ایک نفیس تصدیقی بائی پاس کا سراغ لگایا ہے، جس کا آغاز روس سے منسلک نوبیلیم گروپ نے کیا ہے۔ 

میلویئر جس نے تصدیق کے بائی پاس کی اجازت دی — جسے مائیکروسافٹ نے MagicWeb کہا — نوبیلیم کو یہ صلاحیت دی کہ وہ بے نام صارف کے AD FS سرور پر بیک ڈور لگا سکتا ہے، پھر عام تصدیق کے عمل کو نظرانداز کرنے کے لیے خصوصی طور پر تیار کردہ سرٹیفکیٹ استعمال کرتا ہے۔ مائیکروسافٹ واقعہ کے جواب دہندگان نے تصدیق کے بہاؤ پر ڈیٹا اکٹھا کیا، حملہ آور کے ذریعہ استعمال ہونے والے تصدیقی سرٹیفکیٹ کو حاصل کیا، اور پھر بیک ڈور کوڈ کو ریورس انجنیئر کیا۔

مائیکروسافٹ کی ڈٹیکشن اینڈ رسپانس ٹیم (DART) آٹھ تفتیش کاروں پر توجہ مرکوز نہیں کی گئی تھی۔ اس کی واقعہ رسپانس سائبرٹیک سیریز کی اشاعت میں کہا گیا ہے۔.

"نوبیلیم جیسے قومی ریاست کے حملہ آوروں کے پاس بظاہر لامحدود مالیاتی اور تکنیکی مدد ان کے سپانسر کے ساتھ ساتھ منفرد، جدید ہیکنگ کی حکمت عملیوں، تکنیکوں اور طریقہ کار (TTPs) تک رسائی ہے،" کمپنی نے کہا۔ "زیادہ تر برے اداکاروں کے برعکس، نوبیلیم تقریباً ہر اس مشین پر اپنا ٹریڈ کرافٹ تبدیل کرتا ہے جسے وہ چھوتے ہیں۔"

یہ حملہ اے پی ٹی گروپوں کی بڑھتی ہوئی نفاست کی نشاندہی کرتا ہے، جنہوں نے ٹیکنالوجی سپلائی چینز کو تیزی سے نشانہ بنایا ہے، جیسے سولر ونڈز خلاف ورزی، اور شناخت کے نظام. 

سائبر شطرنج میں ایک "ماسٹر کلاس"

MagicWeb نے AD FS سسٹم تک انتظامی رسائی حاصل کر کے نیٹ ورک کے ذریعے بعد میں منتقل کرنے کے لیے انتہائی مراعات یافتہ سرٹیفیکیشنز کا استعمال کیا۔ AD FS شناخت کے انتظام کا ایک پلیٹ فارم ہے جو آن پریمیسس اور تھرڈ پارٹی کلاؤڈ سسٹمز میں سنگل سائن آن (SSO) کو نافذ کرنے کا طریقہ پیش کرتا ہے۔ مائیکروسافٹ نے کہا کہ نوبیلیم گروپ نے گلوبل اسمبلی کیشے میں نصب بیک ڈور ڈائنامک لنک لائبریری (DLL) کے ساتھ میلویئر کا جوڑا بنایا، جو .NET انفراسٹرکچر کا ایک غیر واضح حصہ ہے۔

MagicWeb، جو مائیکروسافٹ نے پہلی بار اگست 2022 میں بیان کیا۔، کو سابقہ ​​پوسٹ ایکسپلائیٹیشن ٹولز پر بنایا گیا تھا، جیسے فوگی ویب، جو AD FS سرورز سے سرٹیفکیٹ چرا سکتا ہے۔ ان سے لیس، حملہ آور تنظیمی انفراسٹرکچر میں اپنا راستہ بنا سکتے تھے، راستے میں ڈیٹا کو نکال سکتے تھے، اکاؤنٹس توڑ سکتے تھے، اور صارفین کی نقالی کر سکتے تھے۔

مائیکروسافٹ کے مطابق، حملے کے جدید ترین اوزاروں اور تکنیکوں کو بے نقاب کرنے کے لیے جس سطح کی کوشش کی ضرورت ہے، اس سے پتہ چلتا ہے کہ حملہ آوروں کے اوپری حصے کے لیے کمپنیوں کو اپنا بہترین دفاع کرنے کی ضرورت ہوتی ہے۔

کمپنی نے کہا کہ "زیادہ تر حملہ آور چیکرس کا ایک متاثر کن کھیل کھیلتے ہیں، لیکن تیزی سے ہم ترقی یافتہ مستقل خطرے والے اداکاروں کو شطرنج کا ماسٹر کلاس سطح کا کھیل کھیلتے ہوئے دیکھتے ہیں۔" "درحقیقت، نوبیلیم انتہائی فعال رہتا ہے، متوازی طور پر حکومتی تنظیموں، غیر سرکاری تنظیموں (این جی اوز)، بین الحکومتی تنظیموں (آئی جی اوز)، اور امریکہ، یورپ اور وسطی ایشیا میں تھنک ٹینکس کو نشانہ بنانے کے لیے متعدد مہمات چلا رہا ہے۔"

شناختی نظام کے لیے مراعات کو محدود کریں۔

کمپنیوں کو AD FS سسٹمز اور تمام شناختی فراہم کنندگان (IdPs) کو اسی حفاظتی درجے (ٹائر 0) میں ڈومین کنٹرولرز کے طور پر مراعات یافتہ اثاثوں کے طور پر برتاؤ کرنے کی ضرورت ہے، مائیکروسافٹ نے اپنی واقعہ کے ردعمل کے مشورے میں کہا۔ اس طرح کے اقدامات محدود کرتے ہیں کہ کون ان میزبانوں تک رسائی حاصل کرسکتا ہے اور وہ میزبان دوسرے سسٹمز پر کیا کرسکتے ہیں۔ 

اس کے علاوہ، کوئی بھی دفاعی تکنیک جو سائبر حملہ آوروں کے لیے آپریشن کی لاگت کو بڑھاتی ہے، حملوں کو روکنے میں مدد کر سکتی ہے، مائیکروسافٹ نے کہا۔ کمپنیوں کو پوری تنظیم کے تمام اکاؤنٹس میں ملٹی فیکٹر توثیق (MFA) کا استعمال کرنا چاہیے اور اس بات کو یقینی بنانا چاہیے کہ وہ تصدیقی ڈیٹا کے بہاؤ کی نگرانی کریں تاکہ ممکنہ مشتبہ واقعات کی نمائش ہو سکے۔

• SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
• پلیٹو بلاک چین۔ Web3 Metaverse Intelligence. علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
• ماخذ: https://www.darkreading.com/vulnerabilities-threats/magicweb-mystery-highlights-nobelium-attacker-sophistication