Зловреден софтуер ApolloShadow
ApolloShadow е сложен щам на зловреден софтуер, използван в кибершпионски кампании, провеждани от хакерска група, известна като Secret Blizzard. Тази група, за която се смята, че е част от Федералната служба за сигурност на Русия (ФСБ), е свързана с няколко други кодови имена, включително ATG26, Blue Python, Snake, Turla, Uroburos, VENOMOUS BEAR, Waterbug и Wraith. Зловредният софтуер се използва активно в операции, насочени към чувствителни обекти в Москва поне от 2024 г., със силни индикации, че тези кампании ще се разширят допълнително.
Съдържание
Персонализирана заплаха: Произходът и възможностите на ApolloShadow
ApolloShadow е специално създаден зловреден инструмент, предназначен за шпионаж. Разгръщането му е свързано с кампании, насочени към дипломатически институции и други организации с висока стойност, особено тези, които разчитат на руски интернет и телекомуникационни услуги. Зловредният софтуер се разпространява с помощта на усъвършенствани техники „противник по средата“ (AiTM), при които нападателите прихващат комуникацията между жертвата и легитимните услуги.
В последните кампании на ApolloShadow, техниката AiTM беше внедрена на ниво доставчик на интернет услуги (ISP). Жертвите бяха пренасочвани през портал за достъп, предназначен да имитира легитимно поведение на Windows. Когато индикаторът за състоянието на тестовата свързаност на Windows се задействаше, вместо да достъпва стандартна страница за потвърждение, потребителят беше изпратен към домейн, контролиран от нападателите. Това пренасочване водеше до подкана, която насърчаваше потребителя да инсталира измамен root сертификат, често прикрит като реномирани програми за сигурност, за да се инициира веригата на заразяване.
Нарушаване на сигурността: Как ApolloShadow компрометира устройства
Инсталирането на root сертификата е ключовият момент, който предоставя на ApolloShadow достъп до системата. След като е активен, той извършва няколко операции:
- Събира информация за устройства и мрежи, включително IP адреси.
- Опити за получаване на администраторски права чрез фалшива команда за контрол на потребителските акаунти (UAC). В наблюдаваните случаи инсталаторът е бил с име „CertificateDB.exe“.
- Показва подвеждащи изскачащи прозорци, указващи, че се инсталират сертификати.
След като получи повишени привилегии, зловредният софтуер прави заразеното устройство откриваемо в локалната мрежа. След това се опитва да отслаби защитата на системата, като променя настройките на защитната стена и разрешава споделянето на файлове. За да заобиколите защитата на браузъра:
- Браузърите, базирани на Chromium, автоматично се доверяват на злонамерения сертификат.
- Firefox обаче изисква допълнителни промени в конфигурацията от зловредния софтуер, за да избегне откриване.
ApolloShadow също така осигурява дългосрочен достъп, като създава постоянен администраторски потребителски акаунт с име „UpdatusUser“, който използва твърдо кодирана парола с неизтичащ срок.
Дълбока инфилтрация: Какво позволява ApolloShadow
Подозира се, че ApolloShadow позволява атаки за премахване на TLS/SSL. Тези атаки принуждават браузърите да се свързват без сигурно криптиране, което позволява на зловредния софтуер да наблюдава активността при сърфиране и потенциално да събира чувствителна информация, като например токени за вход и идентификационни данни.
Скритостта и постоянството на зловредния софтуер го правят изключително опасен. Способността му да остане незабелязан, докато събира разузнавателна информация и осигурява отдалечен достъп, подчертава стойността му в спонсорираните от държавата кибероперации.
Инструменти на измамата: Социално инженерство и вектори на заразяване
Кампаниите ApolloShadow съчетават техническа манипулация със социално инженерство. Жертвите не само са пренасочвани и манипулирани чрез атаки на мрежово ниво, но и са обект на подвеждащи подкани, които ги подтикват да инсталират злонамерени сертификати под прикритието на надежден софтуер.
Въпреки че кампаниите на ApolloShadow разчитат предимно на прихващане и социално инженерство на ниво интернет доставчик, векторите на инфекция могат да се разширят чрез по-конвенционални тактики за доставяне на зловреден софтуер.
Често срещани методи за разпространение на зловреден софтуер :
Подвеждащи тактики:
- Фишинг съобщения (имейли, лични съобщения, публикации в социалните мрежи).
- Злонамерени връзки или прикачени файлове.
- Измамни актуализации или инсталатори на софтуер.
Небезопасни източници за изтегляне:
- Неофициални уебсайтове.
- Безплатни услуги за хостинг на файлове.
- Платформи за споделяне от типа „peer-to-peer“ (P2P).
Освен това, някои щамове на зловреден софтуер, включително усъвършенствани инструменти като ApolloShadow, могат да се разпространяват чрез локални мрежи или чрез сменяеми устройства за съхранение, като например USB устройства или външни твърди дискове.
Заключение: Сериозна заплаха от шпионаж
ApolloShadow представлява сериозна заплаха за кибершпионаж със силни геополитически мотиви. Чрез използването на надеждни марки, измамни атаки на мрежово ниво и постоянни методи за достъп, Secret Blizzard е изградила мощен инструмент за събиране на разузнавателна информация. Организациите, работещи в или близо до региони с руско влияние, особено тези, които разчитат на местни интернет доставчици, трябва да приемат засилени протоколи за сигурност, за да се защитят от тази развиваща се заплаха.
