Preventivo sconto multi-licenza
Database delle minacce Malware Malware ApolloShadow

Malware ApolloShadow

Entro Mezo nel Malware
Traduci in:

ApolloShadow è un sofisticato malware utilizzato in campagne di spionaggio informatico condotte da un gruppo criminale noto come Secret Blizzard. Questo gruppo, che si ritiene faccia parte del Servizio di Sicurezza Federale (FSB) russo, è associato a diversi altri nomi in codice, tra cui ATG26, Blue Python, Snake, Turla, Uroburos, VENOMOUS BEAR, Waterbug e Wraith. Il malware è stato utilizzato attivamente in operazioni contro entità sensibili a Mosca almeno dal 2024, con forti segnali di un'ulteriore espansione di queste campagne.

Una minaccia personalizzata: origine e capacità di ApolloShadow

ApolloShadow è uno strumento dannoso appositamente progettato per lo spionaggio. Il suo utilizzo è collegato a campagne mirate a istituzioni diplomatiche e altre organizzazioni di alto valore, in particolare quelle che si affidano ai servizi Internet e di telecomunicazione russi. Il malware si diffonde utilizzando tecniche avanzate di Adversary-in-the-Middle (AiTM), in cui gli aggressori intercettano le comunicazioni tra la vittima e i servizi legittimi.

Nelle ultime campagne di ApolloShadow, la tecnica AiTM è stata implementata a livello di Internet Service Provider (ISP). Le vittime venivano reindirizzate attraverso un captive portal progettato per imitare il comportamento legittimo di Windows. Quando veniva attivato l'indicatore di stato di connettività del test di Windows, invece di accedere a una pagina di verifica standard, l'utente veniva indirizzato a un dominio controllato dagli aggressori. Questo reindirizzamento portava a un prompt che incoraggiava l'utente a installare un certificato radice fraudolento, spesso mascherato da programmi di sicurezza affidabili, per avviare la catena di infezione.

Violazione della sicurezza: come ApolloShadow compromette i dispositivi

L'installazione del certificato radice è il momento cruciale che garantisce ad ApolloShadow l'accesso al sistema. Una volta attivo, esegue diverse operazioni:

  • Raccoglie informazioni sul dispositivo e sulla rete, inclusi gli indirizzi IP.
  • Tentativi di ottenere privilegi amministrativi tramite un falso prompt di Controllo Account Utente (UAC). Nei casi osservati, il nome del programma di installazione era "CertificateDB.exe".
  • Visualizza pop-up ingannevoli che indicano che i certificati sono in fase di installazione.

Dopo aver ottenuto privilegi elevati, il malware rende il dispositivo infetto rilevabile sulla rete locale. Quindi tenta di indebolire le difese del sistema modificando le impostazioni del firewall e abilitando la condivisione dei file. Per aggirare la sicurezza del browser:

  • I browser basati su Chromium considerano automaticamente attendibile il certificato dannoso.
  • Firefox, tuttavia, richiede ulteriori modifiche alla configurazione da parte del malware per evitare di essere rilevato.

ApolloShadow garantisce inoltre l'accesso a lungo termine creando un account utente amministrativo persistente denominato "UpdatusUser", che utilizza una password codificata e senza scadenza.

Infiltrazione profonda: cosa consente ApolloShadow

Si sospetta che ApolloShadow consenta attacchi di stripping TLS/SSL. Questi attacchi costringono i browser a connettersi senza crittografia sicura, consentendo al malware di monitorare l'attività di navigazione e potenzialmente raccogliere informazioni sensibili come token di accesso e credenziali.

La furtività e la persistenza del malware lo rendono eccezionalmente pericoloso. La sua capacità di passare inosservato mentre raccoglie informazioni e fornisce accesso remoto ne sottolinea il valore nelle operazioni informatiche sponsorizzate da stati.

Strumenti di inganno: ingegneria sociale e vettori di infezione

Le campagne ApolloShadow combinano manipolazione tecnica e ingegneria sociale. Le vittime non solo vengono reindirizzate e manipolate tramite attacchi a livello di rete, ma vengono anche prese di mira con richieste ingannevoli che le spingono a installare certificati dannosi sotto le mentite spoglie di software attendibili.

Sebbene le campagne ApolloShadow si basino principalmente sull'intercettazione a livello di ISP e sull'ingegneria sociale, i vettori di infezione possono espandersi attraverso tattiche di distribuzione di malware più convenzionali.

Metodi comuni di distribuzione del malware :

Tattiche ingannevoli:

  • Messaggi di phishing (e-mail, messaggi privati, post sui social media).
  • Link o allegati dannosi.
  • Aggiornamenti o programmi di installazione software fraudolenti.

Fonti di download non sicure:

  • Siti web non ufficiali.
  • Servizi di file hosting gratuiti.
  • Piattaforme di condivisione peer-to-peer (P2P).

Inoltre, alcuni ceppi di malware, tra cui strumenti avanzati come ApolloShadow, possono propagarsi tramite reti locali o diffondersi tramite dispositivi di archiviazione rimovibili, come unità USB o dischi rigidi esterni.

Conclusione: una seria minaccia di spionaggio

ApolloShadow rappresenta una seria minaccia di spionaggio informatico con forti motivazioni geopolitiche. Sfruttando marchi affidabili, attacchi ingannevoli a livello di rete e metodi di accesso persistenti, Secret Blizzard ha creato un potente strumento per la raccolta di informazioni. Le organizzazioni che operano nelle regioni di influenza russa o nelle loro vicinanze, in particolare quelle che si affidano a ISP locali, devono adottare protocolli di sicurezza più avanzati per difendersi da questa minaccia in continua evoluzione.

Tendenza

I più visti

Caricamento in corso...