عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرمجيات الخبيثة برنامج ApolloShadow الخبيث

برنامج ApolloShadow الخبيث

بواسطة Mezo في البرمجيات الخبيثة
ترجمة الى:

أبولو شادو سلالة متطورة من البرمجيات الخبيثة تُستخدم في حملات تجسس إلكتروني تُنفذها جهة تهديد تُعرف باسم "العاصفة الثلجية السرية". يُعتقد أن هذه المجموعة تابعة لجهاز الأمن الفيدرالي الروسي (FSB)، وترتبط بأسماء رمزية أخرى عديدة، منها ATG26، وBlue Python، وSnake، وTurla، وUroburos، وVENOMOUS BEAR، وWaterbug، وWraith. وقد استُخدمت هذه البرمجيات الخبيثة بنشاط في عمليات تستهدف جهات حساسة في موسكو منذ عام 2024 على الأقل، مع مؤشرات قوية على توسع هذه الحملات.

تهديد مُخصَّص: أصل ApolloShadow وقدراته

ApolloShadow أداة خبيثة مصممة خصيصًا للتجسس. يرتبط استخدامها بحملات تستهدف المؤسسات الدبلوماسية وغيرها من المؤسسات رفيعة المستوى، وخاصة تلك التي تعتمد على خدمات الإنترنت والاتصالات الروسية. ينتشر هذا البرنامج الخبيث باستخدام تقنيات متقدمة لاختراق الشبكات (AiTM)، حيث يعترض المهاجمون الاتصالات بين الضحية والخدمات الشرعية.

في أحدث حملات ApolloShadow، طُبّقت تقنية AiTM على مستوى مزود خدمة الإنترنت (ISP). أُعيد توجيه الضحايا عبر بوابة مُقيّدة مُصممة لمحاكاة سلوك Windows الشرعي. عند تفعيل مؤشر حالة اتصال Windows، بدلاً من الوصول إلى صفحة تحقق قياسية، وُجّه المستخدم إلى نطاق يتحكم فيه المهاجمون. أدت إعادة التوجيه هذه إلى ظهور رسالة حثّت المستخدم على تثبيت شهادة جذر احتيالية، غالبًا ما تكون مُقنّعة على أنها برامج أمان موثوقة، لبدء سلسلة العدوى.

اختراق الأمان: كيف يخترق برنامج ApolloShadow الأجهزة

يُعد تثبيت شهادة الجذر النقطة المحورية التي تمنح ApolloShadow حق الوصول إلى النظام. بمجرد تفعيلها، تُجري عدة عمليات:

  • يجمع معلومات الجهاز والشبكة، بما في ذلك عناوين IP.
  • محاولات للحصول على صلاحيات إدارية عبر مطالبة وهمية للتحكم بحساب المستخدم (UAC). في الحالات التي لوحظت، كان اسم المثبت "CertificateDB.exe".
  • يعرض النوافذ المنبثقة الخادعة التي تشير إلى أنه يتم تثبيت الشهادات.

بعد الحصول على امتيازات إضافية، يُمكّن البرنامج الخبيث الجهاز المصاب من الاكتشاف على الشبكة المحلية. ثم يحاول إضعاف دفاعات النظام عن طريق تغيير إعدادات جدار الحماية وتفعيل مشاركة الملفات. لتجاوز أمان المتصفح:

  • تثق المتصفحات المستندة إلى Chromium تلقائيًا بالشهادة الضارة.
  • ومع ذلك، يتطلب Firefox تغييرات إضافية في التكوين بواسطة البرامج الضارة لتجنب اكتشافها.

ويضمن ApolloShadow أيضًا إمكانية الوصول على المدى الطويل من خلال إنشاء حساب مستخدم إداري دائم يسمى "UpdatusUser"، والذي يستخدم كلمة مرور مبرمجة بشكل ثابت ولا تنتهي صلاحيتها.

التسلل العميق: ما الذي يُمكّنه ApolloShadow

يُشتبه في أن ApolloShadow يُمكّن من هجمات تجريد TLS/SSL. تُجبر هذه الهجمات المتصفحات على الاتصال دون تشفير آمن، مما يسمح للبرامج الضارة بمراقبة نشاط التصفح، وربما جمع معلومات حساسة مثل رموز تسجيل الدخول وبيانات الاعتماد.

إن قدرة البرمجيات الخبيثة على التخفي واستمراريتها تجعلها بالغة الخطورة. وقدرتها على البقاء خفيةً أثناء جمع المعلومات الاستخباراتية وتوفير الوصول عن بُعد تُبرز قيمتها في العمليات السيبرانية التي ترعاها الدول.

أدوات الخداع: الهندسة الاجتماعية ونواقل العدوى

تمزج حملات ApolloShadow بين التلاعب التقني والهندسة الاجتماعية. لا يقتصر الأمر على إعادة توجيه الضحايا والتلاعب بهم من خلال هجمات على مستوى الشبكة، بل يُستهدفون أيضًا برسائل خادعة تحثهم على تثبيت شهادات خبيثة تحت ستار برامج موثوقة.

في حين تعتمد حملات ApolloShadow بشكل أساسي على اعتراض مستوى مزود خدمة الإنترنت والهندسة الاجتماعية، فإن ناقلات العدوى قد تتوسع من خلال تكتيكات توصيل البرامج الضارة الأكثر تقليدية.

طرق توزيع البرامج الضارة الشائعة :

التكتيكات الخادعة:

    • رسائل التصيد الاحتيالي (رسائل البريد الإلكتروني، والرسائل الخاصة، ومنشورات وسائل التواصل الاجتماعي).
    • الروابط أو المرفقات الضارة.
    • تحديثات أو برامج تثبيت احتيالية.

    مصادر التنزيل غير الآمنة:

    • المواقع غير الرسمية.
    • خدمات استضافة الملفات المجانية.
    • منصات المشاركة من نظير إلى نظير (P2P).

    بالإضافة إلى ذلك، قد تنتشر بعض سلالات البرمجيات الخبيثة، بما في ذلك الأدوات المتقدمة مثل ApolloShadow، عبر الشبكات المحلية أو تنتشر باستخدام أجهزة تخزين قابلة للإزالة مثل محركات أقراص USB أو الأقراص الصلبة الخارجية.

    الخلاصة: تهديد تجسس خطير

    يُمثل ApolloShadow تهديدًا خطيرًا للتجسس الإلكتروني ذي دوافع جيوسياسية قوية. من خلال الاستفادة من العلامات التجارية الموثوقة، والهجمات الخادعة على مستوى الشبكة، وأساليب الوصول المستمر، طورت Secret Blizzard أداةً فعّالة لجمع المعلومات الاستخبارية. يجب على المؤسسات العاملة في مناطق النفوذ الروسي أو بالقرب منها، وخاصةً تلك التي تعتمد على مزودي خدمة الإنترنت المحليين، اعتماد بروتوكولات أمنية مُشددة للدفاع ضد هذا التهديد المُتطور.

الشائع

DHL Express - احتيال عبر البريد الإلكتروني بمعلومات...

التصيد الاحتيالي, رسائل إلكترونية مزعجة
يواصل مجرمو الإنترنت الاعتماد على الخداع عبر البريد الإلكتروني لاستهداف الأفراد غير المنتبهين. ومن هذه الأساليب الشائعة عملية احتيال "دي إتش إل إكسبريس - معلومات فوترة غير صحيحة"، وهي حملة تصيد احتيالي مصممة لسرقة بيانات حساسة، وربما خداع المستلمين لدفع مبالغ احتيالية. قد تبدو هذه الرسائل الإلكترونية موثوقة للوهلة الأولى، لكنها لا ترتبط بأي شكل من الأشكال بشركة دي إتش إل للخدمات اللوجستية...

Customsearch.quickshoppers.co

المواقع المارقة, متصفحات الخاطفين, البرامج غير المرغوب فيها
يجب على المستخدمين توخي الحذر من التهديدات غير الواضحة فورًا. فبينما يتوقع الكثيرون أن تُعلن البرامج الضارة عن وجودها بصوت عالٍ، يكمن الخطر الحقيقي غالبًا في عمليات الاختراق الدقيقة والمستمرة. قد...

الأكثر مشاهدة

البرمجيات الخبيثة

التصيد الاحتيالي, رسائل إلكترونية مزعجة
36,093
رسالة الاحتيال "Apple Pay Suspended" هي نوع من أساليب التصيد الاحتيالي التي تستهدف مستخدمي Apple Pay. تدعي الرسالة أن محفظة Apple Pay الخاصة بالمستخدم قد تم تعليقها وتحثهم على النقر فوق رابط لاستعادتها. ومع ذلك ، سيؤدي النقر فوق الارتباط إلى نقل المستخدم إلى موقع ويب مزيف مصمم لسرقة معلوماته الشخصية والمالية. إذا وقع المستخدم ضحية لهذا المخطط ، فقد تكون العواقب وخيمة ، بما في ذلك الخسائر...
جار التحميل...