Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman perisian hasad Perisian Hasad ApolloShadow

Perisian Hasad ApolloShadow

Menjelang Mezo pada perisian hasad
Terjemahkan ke

ApolloShadow ialah jenis perisian hasad canggih yang digunakan dalam kempen pengintipan siber yang dijalankan oleh pelakon ancaman yang dikenali sebagai Blizzard Rahsia. Kumpulan ini, dipercayai sebahagian daripada Perkhidmatan Keselamatan Persekutuan (FSB) Rusia, dikaitkan dengan beberapa nama kod lain, termasuk ATG26, Blue Python, Snake, Turla, Uroburos, VENOMOUS BEAR, Waterbug dan Wraith. Perisian hasad telah digunakan secara aktif dalam operasi yang menyasarkan entiti sensitif di Moscow sejak sekurang-kurangnya 2024, dengan petunjuk kukuh bahawa kempen ini akan terus berkembang.

Ancaman Tersuai: Asal dan Keupayaan ApolloShadow

ApolloShadow ialah alat hasad tersuai yang direka untuk pengintipan. Penggunaannya dikaitkan dengan kempen yang menyasarkan institusi diplomatik dan organisasi bernilai tinggi lain, terutamanya yang bergantung pada perkhidmatan Internet dan telekomunikasi Rusia. Malware ini disebarkan menggunakan teknik adversary-in-the-middle (AiTM) lanjutan, di mana penyerang memintas komunikasi antara mangsa dan perkhidmatan yang sah.

Dalam kempen terbaru ApolloShadow, teknik AiTM telah dilaksanakan di peringkat Internet Service Provider (ISP). Mangsa telah diubah hala melalui portal tawanan yang direka untuk meniru tingkah laku Windows yang sah. Apabila Penunjuk Status Ketersambungan Ujian Windows telah dicetuskan, dan bukannya mengakses halaman pengesahan standard, pengguna telah dihantar ke domain yang dikawal oleh penyerang. Pengalihan semula ini membawa kepada gesaan yang menggalakkan pengguna memasang sijil akar yang palsu, selalunya menyamar sebagai program keselamatan yang bereputasi, untuk memulakan rantaian jangkitan.

Melanggar Keselamatan: Cara ApolloShadow Mengkompromi Peranti

Pemasangan sijil akar ialah detik penting yang memberikan akses ApolloShadow kepada sistem. Setelah aktif, ia melakukan beberapa operasi:

  • Mengumpul maklumat peranti dan rangkaian, termasuk alamat IP.
  • Percubaan untuk mendapatkan keistimewaan pentadbiran melalui gesaan Kawalan Akaun Pengguna (UAC) palsu. Dalam kes yang diperhatikan, pemasang dinamakan 'CertificateDB.exe.'
  • Memaparkan pop timbul yang mengelirukan yang menunjukkan bahawa sijil sedang dipasang.

Selepas mendapat keistimewaan yang tinggi, perisian hasad menjadikan peranti yang dijangkiti itu boleh ditemui pada rangkaian tempatan. Ia kemudian cuba melemahkan pertahanan sistem dengan mengubah tetapan tembok api dan membolehkan perkongsian fail. Untuk memintas keselamatan penyemak imbas:

  • Penyemak imbas berasaskan Chromium secara automatik mempercayai sijil berniat jahat.
  • Firefox, bagaimanapun, memerlukan perubahan konfigurasi tambahan oleh perisian hasad untuk mengelakkan pengesanan.

ApolloShadow juga memastikan akses jangka panjang dengan mencipta akaun pengguna pentadbiran yang berterusan bernama 'UpdatusUser,' yang menggunakan kata laluan berkod keras dan tidak tamat tempoh.

Penyusupan Dalam: Apa yang Didayakan ApolloShadow

ApolloShadow disyaki mendayakan serangan pelucutan TLS/SSL. Serangan ini memaksa pelayar untuk menyambung tanpa penyulitan selamat, membenarkan perisian hasad memantau aktiviti penyemakan imbas dan berkemungkinan menuai maklumat sensitif seperti token log masuk dan bukti kelayakan.

Kesembunyian dan kegigihan perisian hasad menjadikannya sangat berbahaya. Keupayaannya untuk kekal tidak dapat dikesan semasa mengumpul risikan dan menyediakan akses jauh menggariskan nilainya dalam operasi siber tajaan kerajaan.

Alat Penipuan: Kejuruteraan Sosial dan Vektor Jangkitan

Kempen ApolloShadow menggabungkan manipulasi teknikal dengan kejuruteraan sosial. Mangsa bukan sahaja diubah hala dan dimanipulasi melalui serangan peringkat rangkaian tetapi juga disasarkan dengan gesaan memperdaya yang menggesa mereka memasang sijil berniat jahat di bawah nama perisian yang dipercayai.

Walaupun kempen ApolloShadow bergantung terutamanya pada pemintasan peringkat ISP dan kejuruteraan sosial, vektor jangkitan mungkin berkembang melalui taktik penghantaran perisian hasad yang lebih konvensional.

Kaedah Pengedaran Perisian Hasad Biasa :

Taktik Menipu:

  • Mesej pancingan data (e-mel, mesej peribadi, siaran media sosial).
  • Pautan atau lampiran berniat jahat.
  • Kemas kini perisian palsu atau pemasang.

Sumber Muat Turun Tidak Selamat:

  • Laman web tidak rasmi.
  • Perkhidmatan pengehosan fail percuma.
  • Platform perkongsian Peer-to-Peer (P2P).

Selain itu, beberapa jenis perisian hasad, termasuk alat lanjutan seperti ApolloShadow, mungkin merebak melalui rangkaian tempatan atau merebak menggunakan peranti storan boleh tanggal seperti pemacu USB atau cakera keras luaran.

Kesimpulan: Ancaman Pengintipan yang Serius

ApolloShadow mewakili ancaman pengintipan siber yang serius dengan motivasi geopolitik yang kuat. Dengan memanfaatkan jenama yang dipercayai, serangan peringkat rangkaian yang menipu dan kaedah akses berterusan, Secret Blizzard telah membina alat yang berkuasa untuk pengumpulan risikan. Organisasi yang beroperasi di atau berhampiran kawasan pengaruh Rusia, terutamanya yang bergantung pada ISP tempatan, mesti menggunakan protokol keselamatan yang dipertingkatkan untuk mempertahankan diri daripada ancaman yang semakin berkembang ini.

Trending

Paling banyak dilihat

Memuatkan...