Ponuda s popustom na više licenci
Baza prijetnji Malware Zlonamjerni softver ApolloShadow

Zlonamjerni softver ApolloShadow

Do Mezo. Malware. godine
Prevedi na:

ApolloShadow je sofisticirani zlonamjerni softver koji se koristi u kampanjama kibernetičke špijunaže koje provodi prijetnja poznata kao Secret Blizzard. Ova skupina, za koju se vjeruje da je dio ruske Federalne sigurnosne službe (FSB), povezana je s nekoliko drugih kodnih imena, uključujući ATG26, Blue Python, Snake, Turla, Uroburos, VENOMOUS BEAR, Waterbug i Wraith. Zlonamjerni softver aktivno se koristi u operacijama usmjerenim na osjetljive subjekte u Moskvi najmanje od 2024. godine, s jakim naznakama da će se te kampanje dodatno proširiti.

Prilagođena prijetnja: Podrijetlo i mogućnosti ApolloShadowa

ApolloShadow je posebno izrađen zlonamjerni alat dizajniran za špijunažu. Njegovo korištenje povezano je s kampanjama usmjerenim na diplomatske institucije i druge visokovrijedne organizacije, posebno one koje se oslanjaju na ruske internetske i telekomunikacijske usluge. Zlonamjerni softver širi se pomoću naprednih tehnika protivnika u sredini (AiTM), gdje napadači presreću komunikaciju između žrtve i legitimnih usluga.

U najnovijim kampanjama ApolloShadowa, AiTM tehnika implementirana je na razini davatelja internetskih usluga (ISP). Žrtve su preusmjerene putem zaštitnog portala dizajniranog za oponašanje legitimnog ponašanja sustava Windows. Kada se aktivirao indikator statusa testne povezivosti sustava Windows, umjesto pristupa standardnoj stranici za provjeru, korisnik je poslan na domenu koju kontroliraju napadači. Ovo preusmjeravanje dovelo je do upita koji je poticao korisnika da instalira lažni korijenski certifikat, često prikriven kao ugledni sigurnosni programi, kako bi se pokrenuo lanac zaraze.

Probijanje sigurnosti: Kako ApolloShadow kompromituje uređaje

Instalacija korijenskog certifikata ključni je trenutak koji ApolloShadowu omogućuje pristup sustavu. Nakon što je aktivan, izvršava nekoliko operacija:

  • Prikuplja podatke o uređaju i mreži, uključujući IP adrese.
  • Pokušaji dobivanja administratorskih privilegija putem lažnog upita za kontrolu korisničkih računa (UAC). U uočenim slučajevima, instalacijski program je imao naziv 'CertificateDB.exe'.
  • Prikazuje obmanjujuće skočne prozore koji ukazuju na to da se certifikati instaliraju.

Nakon što dobije povišene privilegije, zlonamjerni softver čini zaraženi uređaj vidljivim na lokalnoj mreži. Zatim pokušava oslabiti obranu sustava mijenjajući postavke vatrozida i omogućujući dijeljenje datoteka. Za zaobilaženje sigurnosti preglednika:

  • Preglednici temeljeni na Chromiumu automatski vjeruju zlonamjernom certifikatu.
  • Međutim, Firefox zahtijeva dodatne promjene konfiguracije od strane zlonamjernog softvera kako bi izbjegao otkrivanje.

ApolloShadow također osigurava dugoročni pristup stvaranjem trajnog administratorskog korisničkog računa pod nazivom 'UpdatusUser', koji koristi čvrsto kodiranu lozinku bez isteka.

Duboka infiltracija: Što ApolloShadow omogućuje

Sumnja se da ApolloShadow omogućuje TLS/SSL stripping napade. Ovi napadi prisiljavaju preglednike da se povežu bez sigurne enkripcije, što omogućuje zlonamjernom softveru praćenje aktivnosti pregledavanja i potencijalno prikupljanje osjetljivih informacija poput tokena za prijavu i vjerodajnica.

Prikrivenost i upornost zlonamjernog softvera čine ga iznimno opasnim. Njegova sposobnost da ostane neotkriven dok prikuplja obavještajne podatke i omogućuje udaljeni pristup naglašava njegovu vrijednost u kibernetičkim operacijama koje sponzorira država.

Alati obmane: Socijalni inženjering i vektori zaraze

Kampanje ApolloShadow kombiniraju tehničku manipulaciju sa socijalnim inženjeringom. Žrtve se ne samo preusmjeravaju i manipuliraju putem napada na razini mreže, već se ciljaju i obmanjujućim uputama koje ih potiču na instaliranje zlonamjernih certifikata pod krinkom pouzdanog softvera.

Iako se ApolloShadow kampanje prvenstveno oslanjaju na presretanje na razini ISP-a i društveni inženjering, vektori infekcije mogu se proširiti konvencionalnijim taktikama isporuke zlonamjernog softvera.

Uobičajene metode distribucije zlonamjernog softvera :

Obmanjujuće taktike:

  • Poruke za krađu identiteta (e-pošta, privatne poruke, objave na društvenim mrežama).
  • Zlonamjerne poveznice ili privitci.
  • Lažna ažuriranja ili instalacijski programi softvera.

Nesigurni izvori za preuzimanje:

  • Neslužbene web stranice.
  • Besplatne usluge hostinga datoteka.
  • Platforme za dijeljenje između korisnika (P2P).

Osim toga, neki sojevi zlonamjernog softvera, uključujući napredne alate poput ApolloShadowa, mogu se širiti putem lokalnih mreža ili pomoću prijenosnih uređaja za pohranu podataka poput USB pogona ili vanjskih tvrdih diskova.

Zaključak: Ozbiljna prijetnja špijunaže

ApolloShadow predstavlja ozbiljnu prijetnju kibernetičkoj špijunaži s jakim geopolitičkim motivacijama. Iskorištavanjem pouzdanih robnih marki, prijevarnih napada na razini mreže i metoda upornog pristupa, Secret Blizzard je izgradio moćan alat za prikupljanje obavještajnih podataka. Organizacije koje posluju u regijama pod ruskim utjecajem ili blizu njih, posebno one koje se oslanjaju na lokalne pružatelje internetskih usluga, moraju usvojiti pojačane sigurnosne protokole kako bi se obranile od ove rastuće prijetnje.

U trendu

DHL Express - Prijevara putem e-pošte s netočnim...

Krađa identiteta, Spam
Kibernetički kriminalci i dalje se oslanjaju na obmanu putem e-pošte kako bi ciljali nesuđene pojedince. Jedna takva taktika koja kruži je prijevara 'DHL Express - Netočni podaci o naplati', phishing kampanja osmišljena za krađu osjetljivih podataka i potencijalno prevaru primatelja na lažna plaćanja. Ove e-poruke mogu se na prvi pogled činiti vjerodostojnima, ali ni na koji način nisu povezane...

Nagledanije

Učitavam...