Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Programari maliciós ApolloShadow

Programari maliciós ApolloShadow

El Mezo el Programari maliciós
Traduir a:

ApolloShadow és una sofisticada varietat de programari maliciós que s'utilitza en campanyes de ciberespionatge dutes a terme per un actor d'amenaces conegut com a Secret Blizzard. Aquest grup, que es creu que forma part del Servei Federal de Seguretat (FSB) de Rússia, està associat amb diversos altres noms en clau, com ara ATG26, Blue Python, Snake, Turla, Uroburos, VENOMOUS BEAR, Waterbug i Wraith. El programari maliciós s'ha utilitzat activament en operacions dirigides a entitats sensibles a Moscou des d'almenys el 2024, amb forts indicis que aquestes campanyes s'expandiran encara més.

Una amenaça personalitzada: l’origen i les capacitats d’ApolloShadow

ApolloShadow és una eina maliciosa feta a mida i dissenyada per a l'espionatge. El seu desplegament està vinculat a campanyes dirigides a institucions diplomàtiques i altres organitzacions d'alt valor, especialment aquelles que depenen dels serveis d'Internet i telecomunicacions russos. El programari maliciós es propaga mitjançant tècniques avançades d'adversari al mig (AiTM), on els atacants intercepten la comunicació entre la víctima i els serveis legítims.

En les darreres campanyes d'ApolloShadow, la tècnica AiTM es va implementar a nivell de proveïdor de serveis d'Internet (ISP). Les víctimes eren redirigides a través d'un portal captiu dissenyat per imitar el comportament legítim de Windows. Quan s'activava l'indicador d'estat de la connectivitat de prova de Windows, en lloc d'accedir a una pàgina de verificació estàndard, l'usuari era enviat a un domini controlat pels atacants. Aquesta redirecció conduïa a un missatge que animava l'usuari a instal·lar un certificat arrel fraudulent, sovint disfressat de programes de seguretat de bona reputació, per iniciar la cadena d'infecció.

Trencant la seguretat: com ApolloShadow compromet els dispositius

La instal·lació del certificat arrel és el moment crucial que atorga a ApolloShadow accés al sistema. Un cop actiu, realitza diverses operacions:

  • Recopila informació del dispositiu i de la xarxa, incloses les adreces IP.
  • Intents d'obtenir privilegis administratius a través d'una sol·licitud de Control de comptes d'usuari (UAC) falsa. En els casos observats, l'instal·lador s'anomenava "CertificateDB.exe".
  • Mostra finestres emergents enganyoses que indiquen que s'estan instal·lant certificats.

Després d'obtenir privilegis elevats, el programari maliciós fa que el dispositiu infectat sigui detectable a la xarxa local. A continuació, intenta debilitar les defenses del sistema modificant la configuració del tallafocs i habilitant la compartició de fitxers. Per eludir la seguretat del navegador:

  • Els navegadors basats en Chromium confien automàticament en el certificat maliciós.
  • Firefox, però, requereix canvis de configuració addicionals per part del programari maliciós per evitar la detecció.

ApolloShadow també garanteix l'accés a llarg termini creant un compte d'usuari administratiu persistent anomenat "UpdatusUser", que utilitza una contrasenya codificada i no caduca.

Infiltració profunda: què permet ApolloShadow

Se sospita que ApolloShadow permet atacs de desxiframent de TLS/SSL. Aquests atacs obliguen els navegadors a connectar-se sense xifratge segur, cosa que permet al programari maliciós supervisar l'activitat de navegació i potencialment recopilar informació sensible com ara tokens d'inici de sessió i credencials.

La sigil·losi i la persistència del programari maliciós el fan excepcionalment perillós. La seva capacitat de passar desapercebut mentre recopila informació i proporciona accés remot subratlla el seu valor en operacions cibernètiques patrocinades per l'estat.

Eines d’engany: enginyeria social i vectors d’infecció

Les campanyes d'ApolloShadow combinen la manipulació tècnica amb l'enginyeria social. Les víctimes no només són redirigides i manipulades mitjançant atacs a nivell de xarxa, sinó que també són atacades amb indicacions enganyoses que les insten a instal·lar certificats maliciosos sota l'aparença de programari de confiança.

Tot i que les campanyes d'ApolloShadow es basen principalment en la intercepció a nivell de proveïdor d'Internet i l'enginyeria social, els vectors d'infecció poden expandir-se a través de tàctiques de distribució de programari maliciós més convencionals.

Mètodes comuns de distribució de programari maliciós :

Tàctiques enganyoses:

  • Missatges de phishing (correus electrònics, missatges privats, publicacions a les xarxes socials).
  • Enllaços o fitxers adjunts maliciosos.
  • Actualitzacions o instal·ladors de programari fraudulents.

Fonts de descàrrega no segures:

  • Llocs web no oficials.
  • Serveis d'allotjament d'arxius gratuïts.
  • Plataformes de compartició entre iguals (P2P).

A més, algunes soques de programari maliciós, incloses eines avançades com ApolloShadow, es poden propagar a través de xarxes locals o es poden estendre mitjançant dispositius d'emmagatzematge extraïbles com ara unitats USB o discs durs externs.

Conclusió: una greu amenaça d’espionatge

ApolloShadow representa una greu amenaça de ciberespionatge amb fortes motivacions geopolítiques. Aprofitant marques de confiança, atacs enganyosos a nivell de xarxa i mètodes d'accés persistents, Secret Blizzard ha creat una eina potent per a la recopilació d'intel·ligència. Les organitzacions que operen en o prop de regions d'influència russa, especialment les que depenen de proveïdors d'Internet locals, han d'adoptar protocols de seguretat reforçats per defensar-se contra aquesta amenaça en evolució.

Tendència

Més vist

Carregant...