قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار ApolloShadow Malware

ApolloShadow Malware

تا Mezo در بدافزار
ترجمه به:

ApolloShadow یک بدافزار پیچیده است که در کمپین‌های جاسوسی سایبری توسط یک عامل تهدید به نام Secret Blizzard به کار گرفته می‌شود. این گروه که گمان می‌رود بخشی از سرویس امنیت فدرال روسیه (FSB) باشد، با چندین نام رمز دیگر از جمله ATG26، Blue Python، Snake، Turla، Uroburos، VENOMOUS BEAR، Waterbug و Wraith مرتبط است. این بدافزار حداقل از سال 2024 به طور فعال در عملیات‌هایی که نهادهای حساس در مسکو را هدف قرار می‌دهند، مورد استفاده قرار گرفته است و نشانه‌های قوی وجود دارد که این کمپین‌ها بیشتر گسترش خواهند یافت.

یک تهدید سفارشی: منشأ و قابلیت‌های ApolloShadow

ApolloShadow یک ابزار مخرب سفارشی است که برای جاسوسی طراحی شده است. استقرار آن با کمپین‌هایی مرتبط است که مؤسسات دیپلماتیک و سایر سازمان‌های با ارزش بالا، به ویژه آن‌هایی که به خدمات اینترنتی و مخابراتی روسیه متکی هستند را هدف قرار می‌دهند. این بدافزار با استفاده از تکنیک‌های پیشرفته‌ی نفوذ در میانه (AiTM) گسترش می‌یابد، که در آن مهاجمان ارتباط بین قربانی و سرویس‌های قانونی را رهگیری می‌کنند.

در آخرین کمپین‌های ApolloShadow، تکنیک AiTM در سطح ارائه‌دهنده خدمات اینترنت (ISP) پیاده‌سازی شد. قربانیان از طریق یک پورتال تحت کنترل که برای تقلید از رفتار مشروع ویندوز طراحی شده بود، هدایت می‌شدند. هنگامی که نشانگر وضعیت اتصال آزمایشی ویندوز فعال می‌شد، به جای دسترسی به یک صفحه تأیید استاندارد، کاربر به دامنه‌ای که توسط مهاجمان کنترل می‌شد، هدایت می‌شد. این هدایت منجر به فراخوانی می‌شد که کاربر را تشویق می‌کرد تا یک گواهی ریشه جعلی، که اغلب به عنوان برنامه‌های امنیتی معتبر پنهان شده بود، نصب کند تا زنجیره آلودگی آغاز شود.

شکستن امنیت: چگونه ApolloShadow دستگاه‌ها را به خطر می‌اندازد

نصب گواهی ریشه، لحظه‌ی محوری است که به ApolloShadow دسترسی به سیستم را می‌دهد. پس از فعال شدن، چندین عملیات انجام می‌دهد:

  • اطلاعات دستگاه و شبکه، از جمله آدرس‌های IP را جمع‌آوری می‌کند.
  • تلاش برای به دست آوردن امتیازات مدیریتی از طریق یک اعلان جعلی کنترل حساب کاربری (UAC). در موارد مشاهده شده، نام نصب‌کننده «CertificateDB.exe» بوده است.
  • پنجره‌های بازشو فریبنده‌ای را نشان می‌دهد که نشان می‌دهد گواهی‌ها در حال نصب هستند.

پس از کسب امتیازات بالا، بدافزار دستگاه آلوده را در شبکه محلی قابل شناسایی می‌کند. سپس با تغییر تنظیمات فایروال و فعال کردن اشتراک‌گذاری فایل، سعی در تضعیف دفاع سیستم می‌کند. برای دور زدن امنیت مرورگر:

  • مرورگرهای مبتنی بر کرومیوم به طور خودکار به گواهی مخرب اعتماد می‌کنند.
  • با این حال، فایرفاکس برای جلوگیری از شناسایی، نیاز به تغییرات پیکربندی اضافی توسط بدافزار دارد.

ApolloShadow همچنین با ایجاد یک حساب کاربری مدیریتی پایدار به نام «UpdatusUser» که از یک رمز عبور غیرقابل انقضا و کدگذاری‌شده استفاده می‌کند، دسترسی بلندمدت را تضمین می‌کند.

نفوذ عمیق: آنچه ApolloShadow ممکن می‌سازد

گمان می‌رود که ApolloShadow حملات حذف TLS/SSL را فعال می‌کند. این حملات مرورگرها را مجبور به اتصال بدون رمزگذاری ایمن می‌کنند و به بدافزار اجازه می‌دهند تا فعالیت مرور را رصد کند و به طور بالقوه اطلاعات حساسی مانند توکن‌های ورود و اعتبارنامه‌ها را جمع‌آوری کند.

مخفی‌کاری و پایداری این بدافزار، آن را به شدت خطرناک می‌کند. توانایی آن در ناشناس ماندن در حین جمع‌آوری اطلاعات و ارائه دسترسی از راه دور، ارزش آن را در عملیات سایبری تحت حمایت دولت برجسته می‌کند.

ابزارهای فریب: مهندسی اجتماعی و بردارهای آلودگی

کمپین‌های ApolloShadow دستکاری فنی را با مهندسی اجتماعی ترکیب می‌کنند. قربانیان نه تنها از طریق حملات سطح شبکه هدایت و دستکاری می‌شوند، بلکه با پیام‌های فریبنده‌ای که آنها را ترغیب می‌کند تا گواهی‌های مخرب را تحت پوشش نرم‌افزارهای قابل اعتماد نصب کنند، هدف قرار می‌گیرند.

در حالی که کمپین‌های ApolloShadow عمدتاً به رهگیری در سطح ISP و مهندسی اجتماعی متکی هستند، بردارهای آلودگی ممکن است از طریق تاکتیک‌های مرسوم‌تر توزیع بدافزار گسترش یابند.

روش‌های رایج توزیع بدافزار :

تاکتیک‌های فریبکارانه:

      • پیام‌های فیشینگ (ایمیل، پیام‌های خصوصی، پست‌های رسانه‌های اجتماعی).
      • لینک‌ها یا پیوست‌های مخرب.
      • به‌روزرسانی‌ها یا نصب‌کننده‌های نرم‌افزاری جعلی.

منابع دانلود ناامن:

      • وب‌سایت‌های غیررسمی.
      • سرویس‌های میزبانی فایل رایگان.
      • پلتفرم‌های اشتراک‌گذاری نظیر به نظیر (P2P).

علاوه بر این، برخی از گونه‌های بدافزار، از جمله ابزارهای پیشرفته‌ای مانند ApolloShadow، ممکن است از طریق شبکه‌های محلی یا با استفاده از دستگاه‌های ذخیره‌سازی قابل جابجایی مانند درایوهای USB یا هارد دیسک‌های خارجی پخش شوند.

نتیجه‌گیری: یک تهدید جاسوسی جدی

ApolloShadow یک تهدید جدی جاسوسی سایبری با انگیزه‌های ژئوپلیتیکی قوی است. Secret Blizzard با بهره‌گیری از برندهای معتبر، حملات فریبنده در سطح شبکه و روش‌های دسترسی مداوم، ابزاری قدرتمند برای جمع‌آوری اطلاعات ساخته است. سازمان‌هایی که در مناطق تحت نفوذ روسیه یا نزدیک آن فعالیت می‌کنند، به‌ویژه آن‌هایی که به ISPهای محلی متکی هستند، باید پروتکل‌های امنیتی پیشرفته‌ای را برای دفاع در برابر این تهدید در حال تحول اتخاذ کنند.

    پرطرفدار

    کلاهبرداری ایمیلی با اطلاعات نادرست صورتحساب از طریق...

    فیشینگ, هرزنامه
    مجرمان سایبری همچنان برای هدف قرار دادن افراد ناآگاه به فریب مبتنی بر ایمیل متکی هستند. یکی از این تاکتیک‌ها که در حال رواج است، کلاهبرداری «DHL Express - اطلاعات نادرست صورتحساب» است، یک کمپین فیشینگ که برای سرقت داده‌های حساس و فریب دادن گیرندگان به پرداخت‌های جعلی طراحی شده است. این ایمیل‌ها ممکن است در نگاه اول معتبر به نظر برسند، اما به هیچ وجه با شرکت لجستیکی قانونی DHL یا هیچ سازمان...

    Customsearch.quickshoppers.co

    وب سایت های سرکش, ربایندگان مرورگر, برنامه های بالقوه ناخواسته
    کاربران باید در برابر تهدیدهایی که بلافاصله آشکار نمی‌شوند، هوشیار باشند. در حالی که بسیاری انتظار دارند بدافزار حضور خود را با صدای بلند اعلام کند، خطر واقعی اغلب در نفوذهای نامحسوس و مداوم نهفته...

    پربیننده ترین

    بد افزار

    فیشینگ, هرزنامه
    36,093
    پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
    بارگذاری...