Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Pahavara ApolloShadow pahavara

ApolloShadow pahavara

Aastaks Mezo aastal Pahavara
Tõlgi:

ApolloShadow on keerukas pahavara tüvi, mida kasutatakse küberspionaažikampaaniates, mida viib läbi ohurühmitus Secret Blizzard. See rühmitus, mis arvatakse olevat osa Venemaa Föderaalsest Julgeolekuteenistusest (FSB), on seotud mitme teise koodnimega, sealhulgas ATG26, Blue Python, Snake, Turla, Uroburos, VENOMOUS BEAR, Waterbug ja Wraith. Pahavara on aktiivselt kasutatud Moskva tundlike üksuste sihtimiseks mõeldud operatsioonides vähemalt alates 2024. aastast ning on selgeid märke, et need kampaaniad laienevad veelgi.

Kohandatud oht: ApolloShadowi päritolu ja võimed

ApolloShadow on spetsiaalselt loodud pahatahtlik tööriist, mis on loodud spionaažiks. Selle kasutuselevõtt on seotud kampaaniatega, mis on suunatud diplomaatilistele institutsioonidele ja teistele kõrge väärtusega organisatsioonidele, eriti neile, kes sõltuvad Venemaa interneti- ja telekommunikatsiooniteenustest. Pahavara levitatakse täiustatud vastase-keskelt-pangas (AiTM) tehnikate abil, kus ründajad pealt kuulavad ohvri ja legitiimsete teenuste vahelist suhtlust.

ApolloShadowi viimastes kampaaniates rakendati AiTM-tehnikat internetiteenuse pakkuja (ISP) tasandil. Ohvrid suunati ümber läbi suletud portaali, mis oli loodud jäljendama Windowsi seaduslikku käitumist. Kui Windowsi ühenduvuse oleku indikaator käivitus, suunati kasutaja tavapärase kinnituslehe asemel ründajate kontrollitavale domeenile. See ümbersuunamine viis viibani, mis julgustas kasutajat installima petturliku juursertifikaadi, mis oli sageli maskeeritud usaldusväärsete turvaprogrammideks, et käivitada nakkusahel.

Turvalisuse rikkumine: kuidas ApolloShadow seadmeid kahjustab

Juursertifikaadi installimine on otsustav hetk, mis annab ApolloShadow'le juurdepääsu süsteemile. Kui see on aktiivne, teeb see mitmeid toiminguid:

  • Kogub seadme ja võrgu kohta käivat teavet, sh IP-aadresse.
  • Püüab saada administraatoriõigusi võltsitud kasutajakonto kontrolli (UAC) viiba kaudu. Täheldatud juhtudel oli installija nimi „CertificateDB.exe”.
  • Kuvab petlikke hüpikaknaid, mis viitavad sertifikaatide installimisele.

Pärast kõrgendatud õiguste saamist muudab pahavara nakatunud seadme kohalikus võrgus leitavaks. Seejärel üritab see süsteemi kaitset nõrgestada, muutes tulemüüri sätteid ja lubades failide jagamist. Brauseri turvalisuse möödahiilimiseks toimige järgmiselt.

  • Chromiumi-põhised brauserid usaldavad pahatahtlikku sertifikaati automaatselt.
  • Firefox nõuab aga pahavaralt tuvastamise vältimiseks täiendavaid konfiguratsioonimuudatusi.

ApolloShadow tagab ka pikaajalise juurdepääsu, luues püsiva administraatori kasutajakonto nimega „UpdatusUser”, mis kasutab kõvakodeeritud ja aegumatut parooli.

Sügav infiltratsioon: mida ApolloShadow võimaldab

Kahtlustatakse, et ApolloShadow võimaldab TLS/SSL-i eemaldamise rünnakuid. Need rünnakud sunnivad brausereid looma ühenduse ilma turvalise krüptimiseta, võimaldades pahavaral jälgida sirvimistegevust ja potentsiaalselt koguda tundlikku teavet, näiteks sisselogimislubasid ja volitusi.

Pahavara märkamatu olemus ja püsivus muudavad selle erakordselt ohtlikuks. Selle võime jääda avastamata samal ajal luureandmeid kogudes ja kaugjuurdepääsu pakkudes rõhutab selle väärtust riigi toetatud küberoperatsioonides.

Pettuse tööriistad: sotsiaalne manipuleerimine ja nakkusvektorid

ApolloShadow kampaaniad ühendavad tehnilise manipuleerimise sotsiaalse insenerimisega. Ohvreid mitte ainult ei suunata ümber ja manipuleerita võrgutaseme rünnakute abil, vaid neile saadetakse ka petlikke juhiseid, mis õhutavad neid installima pahatahtlikke sertifikaate usaldusväärse tarkvara varjus.

Kuigi ApolloShadow kampaaniad tuginevad peamiselt internetiteenuse pakkuja tasemel pealtkuulamisele ja sotsiaalsele manipuleerimisele, võivad nakkusvektorid laieneda ka tavapärasemate pahavara levitamise taktikate abil.

Levinumad pahavara levitamise meetodid :

Petlikud taktikad:

  • Õngitsussõnumid (e-kirjad, privaatsõnumid, sotsiaalmeedia postitused).
  • Pahatahtlikud lingid või manused.
  • Petturlikud tarkvarauuendused või installijad.

Ebaturvalised allalaadimisallikad:

  • Mitteametlikud veebisaidid.
  • Tasuta failimajutusteenused.
  • Võrdõigusvõrgu (P2P) jagamisplatvormid.

Lisaks võivad mõned pahavara tüved, sealhulgas täiustatud tööriistad nagu ApolloShadow, levida kohalike võrkude kaudu või eemaldatavate salvestusseadmete, näiteks USB-draivide või väliste kõvaketaste abil.

Kokkuvõte: tõsine spionaažioht

ApolloShadow kujutab endast tõsist küberspionaažiohtu, millel on tugevad geopoliitilised motiivid. Kasutades ära usaldusväärseid kaubamärke, petlikke võrgutaseme rünnakuid ja püsivaid juurdepääsumeetodeid, on Secret Blizzard loonud võimsa tööriista luureandmete kogumiseks. Venemaa mõjupiirkondades või nende lähedal tegutsevad organisatsioonid, eriti need, mis tuginevad kohalikele internetiteenuse pakkujatele, peavad selle areneva ohu eest kaitsmiseks kasutusele võtma rangemad turvaprotokollid.

Trendikas

DHL Express - vale arveldusinfoga seotud e-posti pettus

Andmepüük, Rämpspost
Küberkurjategijad kasutavad jätkuvalt e-posti teel petmist, et sihtida pahaaimamatuid isikuid. Üks selline levinud taktika on pettus „DHL Express – vale arveldusinfo” – andmepüügikampaania, mille eesmärk on varastada tundlikke andmeid ja potentsiaalselt meelitada saajaid petturlike maksete sooritamisele. Need e-kirjad võivad esmapilgul tunduda usaldusväärsed, kuid need ei ole mingil moel seotud...

Enim vaadatud

Laadimine...