ApolloShadow ļaunprogrammatūra

ApolloShadow ir sarežģīta ļaunprogrammatūras versija, ko izmanto kiberizlūkošanas kampaņās, ko vada apdraudējumu grupa, kas pazīstama kā Secret Blizzard. Šī grupa, kas, domājams, ir daļa no Krievijas Federālā drošības dienesta (FSB), ir saistīta ar vairākiem citiem segvārdiem, tostarp ATG26, Blue Python, Snake, Turla, Uroburos, VENOMOUS BEAR, Waterbug un Wraith. Ļaunprogrammatūra tiek aktīvi izmantota operācijās, kas vērstas pret sensitīvām struktūrām Maskavā vismaz kopš 2024. gada, un ir spēcīgas norādes, ka šīs kampaņas vēl vairāk paplašināsies.

Pielāgots drauds: ApolloShadow izcelsme un spējas

ApolloShadow ir īpaši izstrādāts ļaunprātīgs rīks, kas paredzēts spiegošanas vajadzībām. Tā izvietošana ir saistīta ar kampaņām, kuru mērķis ir diplomātiskās iestādes un citas augstas vērtības organizācijas, jo īpaši tās, kas paļaujas uz Krievijas interneta un telekomunikāciju pakalpojumiem. Ļaunprogrammatūra tiek izplatīta, izmantojot uzlabotas pretinieka ievilkšanas (AiTM) metodes, kur uzbrucēji pārtver saziņu starp upuri un likumīgiem pakalpojumiem.

ApolloShadow jaunākajās kampaņās AiTM tehnika tika ieviesta interneta pakalpojumu sniedzēja (ISP) līmenī. Upuri tika novirzīti caur fiksētu portālu, kas izveidots, lai atdarinātu likumīgu Windows darbību. Kad tika aktivizēts Windows testa savienojamības statusa indikators, lietotājs netika novirzīts uz standarta verifikācijas lapu, bet gan uz uzbrucēju kontrolētu domēnu. Šī novirzīšana izraisīja uzvedni, kas mudināja lietotāju instalēt krāpniecisku saknes sertifikātu, kas bieži vien bija maskēts kā cienījama drošības programma, lai sāktu inficēšanas ķēdi.

Drošības pārkāpšana: kā ApolloShadow apdraud ierīces

Saknes sertifikāta instalēšana ir izšķirošais brīdis, kas piešķir ApolloShadow piekļuvi sistēmai. Kad tas ir aktīvs, tas veic vairākas darbības:

• Apkopo ierīces un tīkla informāciju, tostarp IP adreses.
• Mēģinājumi iegūt administratora privilēģijas, izmantojot viltotu lietotāja konta kontroles (UAC) uzvedni. Novērotajos gadījumos instalētāja nosaukums bija “CertificateDB.exe”.
• Parāda maldinošus uznirstošos logus, kas norāda, ka tiek instalēti sertifikāti.

Pēc paaugstinātu privilēģiju iegūšanas ļaunprogrammatūra padara inficēto ierīci atrodamu lokālajā tīklā. Pēc tam tā mēģina vājināt sistēmas aizsardzību, mainot ugunsmūra iestatījumus un iespējojot failu koplietošanu. Lai apietu pārlūkprogrammas drošību:

• Chromium pārlūkprogrammas automātiski uzticas ļaunprātīgajam sertifikātam.
• Tomēr Firefox prasa, lai ļaunprogrammatūra veiktu papildu konfigurācijas izmaiņas, lai izvairītos no atklāšanas.

ApolloShadow nodrošina arī ilgtermiņa piekļuvi, izveidojot pastāvīgu administratora lietotāja kontu ar nosaukumu “UpdatusUser”, kas izmanto iekodētu, nebeidzamu paroli.

Dziļa infiltrācija: ko nodrošina ApolloShadow

Pastāv aizdomas, ka ApolloShadow nodrošina TLS/SSL šifrēšanas uzbrukumus. Šie uzbrukumi piespiež pārlūkprogrammas izveidot savienojumu bez drošas šifrēšanas, ļaujot ļaunprogrammatūrai uzraudzīt pārlūkošanas aktivitātes un potenciāli iegūt sensitīvu informāciju, piemēram, pieteikšanās žetonus un akreditācijas datus.

Ļaunprogrammatūras slepenība un noturība padara to īpaši bīstamu. Tās spēja palikt nepamanītai, vienlaikus vācot izlūkdienestus un nodrošinot attālinātu piekļuvi, uzsver tās vērtību valsts sponsorētās kiberoperācijās.

Maldināšanas rīki: sociālā inženierija un infekcijas vektori

ApolloShadow kampaņas apvieno tehniskas manipulācijas ar sociālo inženieriju. Upuri tiek ne tikai novirzīti un manipulēti, izmantojot tīkla līmeņa uzbrukumus, bet arī tiek mērķēti ar maldinošiem aicinājumiem instalēt ļaunprātīgus sertifikātus, aizbildinoties ar uzticamu programmatūru.

Lai gan ApolloShadow kampaņas galvenokārt balstās uz interneta pakalpojumu sniedzēju līmeņa pārtveršanu un sociālo inženieriju, infekcijas vektori var izplatīties, izmantojot tradicionālākas ļaunprogrammatūras piegādes taktikas.

Biežākās ļaunprogrammatūras izplatīšanas metodes :

Maldinoša taktika:

• Pikšķerēšanas ziņojumi (e-pasti, privātas ziņas, ieraksti sociālajos tīklos).
• Ļaunprātīgas saites vai pielikumi.
• Krāpnieciski programmatūras atjauninājumi vai instalētāji.

Nedroši lejupielādes avoti:

• Neoficiālas tīmekļa vietnes.
• Bezmaksas failu mitināšanas pakalpojumi.
• Vienādranga (P2P) koplietošanas platformas.

Turklāt daži ļaunprogrammatūras paveidi, tostarp tādi uzlaboti rīki kā ApolloShadow, var izplatīties lokālajos tīklos vai izmantojot noņemamas atmiņas ierīces, piemēram, USB diskus vai ārējos cietos diskus.

Secinājums: nopietns spiegošanas drauds

ApolloShadow rada nopietnus kiberspiegošanas draudus ar spēcīgiem ģeopolitiskiem motīviem. Izmantojot uzticamus zīmolus, maldinošus tīkla līmeņa uzbrukumus un pastāvīgas piekļuves metodes, Secret Blizzard ir izveidojis spēcīgu rīku izlūkdatu vākšanai. Organizācijām, kas darbojas Krievijas ietekmes reģionos vai to tuvumā, īpaši tām, kas paļaujas uz vietējiem interneta pakalpojumu sniedzējiem, ir jāievieš paaugstināti drošības protokoli, lai aizsargātos pret šiem mainīgajiem draudiem.