תוכנה זדונית של ApolloShadow

ApolloShadow הוא זן נוזקה מתוחכם המופעל בקמפיינים של ריגול סייבר המבוצעים על ידי גורם איום המכונה Secret Blizzard. קבוצה זו, הנחשבת לחלק משירות הביטחון הפדרלי של רוסיה (FSB), קשורה למספר שמות קוד נוספים, כולל ATG26, Blue Python, Snake, Turla, Uroburos, VENOMOUS BEAR, Waterbug ו-Wraith. הנוזקה נמצאת בשימוש פעיל בפעולות המכוונות נגד ישויות רגישות במוסקבה לפחות מאז 2024, עם אינדיקציות חזקות לכך שקמפיינים אלה יתרחבו עוד יותר.

איום מותאם אישית: מקורו ויכולותיו של ApolloShadow

ApolloShadow הוא כלי זדוני שנבנה במיוחד למטרות ריגול. פריסתו קשורה לקמפיינים המכוונים נגד מוסדות דיפלומטיים וארגונים בעלי ערך גבוה אחרים, במיוחד אלו המסתמכים על שירותי אינטרנט ותקשורת רוסיים. הנוזקה מופצת באמצעות טכניקות מתקדמות של "אויב באמצע" (AiTM), בהן תוקפים מיירטים את התקשורת בין הקורבן לשירותים לגיטימיים.

בקמפיינים האחרונים של ApolloShadow, טכניקת AiTM יושמה ברמת ספק שירותי האינטרנט (ISP). הקורבנות הופנו דרך פורטל שבוי שנועד לחקות התנהגות לגיטימית של Windows. כאשר מחוון סטטוס החיבוריות לבדיקת Windows הופעל, במקום לגשת לדף אימות סטנדרטי, המשתמש נשלח לדומיין הנשלט על ידי התוקפים. ניתוב מחדש זה הוביל להנחיה שעודדה את המשתמש להתקין אישור שורש הונאה, שלעתים קרובות מוסווה כתוכנות אבטחה בעלות מוניטין, כדי להתחיל את שרשרת ההדבקה.

שבירת אבטחה: כיצד ApolloShadow פוגעת במכשירים

התקנת תעודת הבסיס היא הרגע המכריע שמעניק ל-ApolloShadow גישה למערכת. לאחר פעילותה, היא מבצעת מספר פעולות:

• אוסף מידע על מכשירים ורשתות, כולל כתובות IP.
• ניסיונות להשיג הרשאות ניהול באמצעות בקשת בקרת חשבון משתמש (UAC) מזויפת. במקרים שנצפו, תוכנית ההתקנה נקראה 'CertificateDB.exe'.
• מציג חלונות קופצים מטעים המציינים כי מתבצעת התקנת אישורים.

לאחר קבלת הרשאות מוגברות, התוכנה הזדונית הופכת את המכשיר הנגוע לניתן לגילוי ברשת המקומית. לאחר מכן היא מנסה להחליש את הגנות המערכת על ידי שינוי הגדרות חומת האש והפעלת שיתוף קבצים. כדי לעקוף את אבטחת הדפדפן:

• דפדפנים מבוססי כרום נותנים אמון אוטומטית באישור הזדוני.
• עם זאת, פיירפוקס דורש שינויי תצורה נוספים על ידי התוכנה הזדונית כדי למנוע גילוי.

ApolloShadow גם מבטיח גישה לטווח ארוך על ידי יצירת חשבון משתמש ניהולי קבוע בשם 'UpdatusUser', המשתמש בסיסמה מקודדת וקבועה שאינה פגה.

חדירה עמוקה: מה ApolloShadow מאפשר

ApolloShadow חשוד כמאפשר התקפות הסרת TLS/SSL. התקפות אלו מאלצות דפדפנים להתחבר ללא הצפנה מאובטחת, מה שמאפשר לתוכנה הזדונית לנטר פעילות גלישה ולקצור מידע רגיש כמו אסימוני כניסה ופרטי גישה.

החשאיות וההתמדה של הנוזקה הופכות אותה למסוכנת במיוחד. יכולתה להישאר בלתי מתגלה תוך איסוף מודיעין ומתן גישה מרחוק מדגישה את ערכה במבצעי סייבר בחסות המדינה.

כלי הטעיה: הנדסה חברתית ווקטורי זיהום

קמפייני ApolloShadow משלבים מניפולציה טכנית עם הנדסה חברתית. הקורבנות לא רק מופנים ומנוטרלים באמצעות התקפות ברמת הרשת, אלא גם מכוונים להנחיות מטעות הקוראות להם להתקין תעודות זדוניות במסווה של תוכנה מהימנה.

בעוד שקמפיינים של ApolloShadow מסתמכים בעיקר על יירוט ברמת ספק האינטרנט והנדסה חברתית, וקטורי ההדבקה עשויים להתפשט באמצעות טקטיקות קונבנציונליות יותר של העברת תוכנות זדוניות.

שיטות נפוצות להפצת תוכנות זדוניות :

טקטיקות מטעות:

• הודעות פישינג (מיילים, הודעות פרטיות, פוסטים ברשתות חברתיות).
• קישורים או קבצים מצורפים זדוניים.
• עדכוני תוכנה או מתקינים הונאה.

מקורות הורדה לא בטוחים:

• אתרים לא רשמיים.
• שירותי אחסון קבצים בחינם.
• פלטפורמות שיתוף עמית לעמית (P2P).

בנוסף, חלק מזני התוכנות הזדוניות, כולל כלים מתקדמים כמו ApolloShadow, עשויים להתפשט דרך רשתות מקומיות או להתפשט באמצעות התקני אחסון נשלפים כגון כונני USB או דיסקים קשיחים חיצוניים.

סיכום: איום ריגול חמור

ApolloShadow מייצגת איום ריגול סייבר חמור עם מניעים גיאופוליטיים חזקים. על ידי מינוף מותגים מהימנים, התקפות מטעות ברמת הרשת ושיטות גישה מתמשכות, Secret Blizzard בנתה כלי רב עוצמה לאיסוף מודיעין. ארגונים הפועלים באזורים בעלי השפעה רוסית או בסמוך להם, במיוחד אלו המסתמכים על ספקי אינטרנט מקומיים, חייבים לאמץ פרוטוקולי אבטחה משופרים כדי להתגונן מפני איום מתפתח זה.