ApolloShadow Malware

ApolloShadow एक परिष्कृत मालवेयर स्ट्रेन हो जुन Secret Blizzard भनेर चिनिने खतरा अभिनेताद्वारा सञ्चालित साइबर जासूसी अभियानहरूमा प्रयोग गरिन्छ। रूसको संघीय सुरक्षा सेवा (FSB) को एक हिस्सा मानिने यो समूह ATG26, Blue Python, Snake, Turla, Uroburos, VENOMOUS BEAR, Waterbug, र Wraith सहित धेरै अन्य कोडनेमहरूसँग सम्बन्धित छ। मालवेयर कम्तिमा २०२४ देखि मस्कोमा संवेदनशील संस्थाहरूलाई लक्षित गर्ने अपरेशनहरूमा सक्रिय रूपमा प्रयोग गरिएको छ, यी अभियानहरू अझ विस्तार हुने बलियो संकेतहरू सहित।

एक अनुकूलित खतरा: अपोलोश्याडोको उत्पत्ति र क्षमताहरू

ApolloShadow जासुसीको लागि डिजाइन गरिएको एक अनुकूलित-निर्मित दुर्भावनापूर्ण उपकरण हो। यसको तैनाती कूटनीतिक संस्थाहरू र अन्य उच्च-मूल्यवान संस्थाहरूलाई लक्षित गर्ने अभियानहरूसँग जोडिएको छ, विशेष गरी रूसी इन्टरनेट र दूरसञ्चार सेवाहरूमा भर पर्नेहरू। मालवेयर उन्नत एड्भर्सी-इन-द-मिडल (AiTM) प्रविधिहरू प्रयोग गरेर फैलिएको छ, जहाँ आक्रमणकारीहरूले पीडित र वैध सेवाहरू बीचको सञ्चारलाई अवरोध गर्छन्।

ApolloShadow को पछिल्लो अभियानहरूमा, AiTM प्रविधि इन्टरनेट सेवा प्रदायक (ISP) स्तरमा लागू गरिएको थियो। पीडितहरूलाई वैध Windows व्यवहारको नक्कल गर्न डिजाइन गरिएको क्याप्टिभ पोर्टल मार्फत रिडिरेक्ट गरिएको थियो। जब Windows Test Connectivity Status Indicator ट्रिगर गरिएको थियो, मानक प्रमाणिकरण पृष्ठ पहुँच गर्नुको सट्टा, प्रयोगकर्तालाई आक्रमणकारीहरूद्वारा नियन्त्रित डोमेनमा पठाइएको थियो। यो रिडिरेक्शनले प्रयोगकर्तालाई संक्रमण श्रृंखला सुरु गर्न प्रायः प्रतिष्ठित सुरक्षा कार्यक्रमहरूको रूपमा भेषमा रहेको जालसाजीपूर्ण रूट प्रमाणपत्र स्थापना गर्न प्रोत्साहित गर्ने प्रम्प्ट निम्त्यायो।

सुरक्षा तोड्दै: अपोलोश्याडोले कसरी उपकरणहरूमा सम्झौता गर्छ

रूट सर्टिफिकेटको स्थापना भनेको ApolloShadow लाई प्रणालीमा पहुँच प्रदान गर्ने महत्त्वपूर्ण क्षण हो। एक पटक सक्रिय भएपछि, यसले धेरै कार्यहरू गर्दछ:

• IP ठेगानाहरू सहित उपकरण र नेटवर्क जानकारी सङ्कलन गर्दछ।
• नक्कली प्रयोगकर्ता खाता नियन्त्रण (UAC) प्रम्प्ट मार्फत प्रशासनिक विशेषाधिकार प्राप्त गर्ने प्रयास। अवलोकन गरिएका केसहरूमा, स्थापनाकर्तालाई 'CertificateDB.exe' नाम दिइएको थियो।
• प्रमाणपत्रहरू स्थापना भइरहेका छन् भनी संकेत गर्ने भ्रामक पप-अपहरू प्रदर्शन गर्दछ।

उच्च विशेषाधिकार प्राप्त गरेपछि, मालवेयरले संक्रमित उपकरणलाई स्थानीय नेटवर्कमा पत्ता लगाउन योग्य बनाउँछ। त्यसपछि यसले फायरवाल सेटिङहरू परिवर्तन गरेर र फाइल साझेदारी सक्षम गरेर प्रणालीको प्रतिरक्षालाई कमजोर पार्ने प्रयास गर्दछ। ब्राउजर सुरक्षालाई बाइपास गर्न:

• क्रोमियम-आधारित ब्राउजरहरूले स्वचालित रूपमा दुर्भावनापूर्ण प्रमाणपत्रलाई विश्वास गर्छन्।
• यद्यपि, फायरफक्सलाई मालवेयर पत्ता लगाउनबाट बच्नको लागि थप कन्फिगरेसन परिवर्तनहरू आवश्यक पर्दछ।

ApolloShadow ले 'UpdatusUser' नामक एक स्थायी प्रशासनिक प्रयोगकर्ता खाता सिर्जना गरेर दीर्घकालीन पहुँच सुनिश्चित गर्दछ, जसले हार्डकोड गरिएको, म्याद समाप्त नहुने पासवर्ड प्रयोग गर्दछ।

गहिरो घुसपैठ: अपोलोश्याडोले के सक्षम बनाउँछ

ApolloShadow ले TLS/SSL स्ट्रिपिङ आक्रमणहरू सक्षम पार्ने शंका गरिएको छ। यी आक्रमणहरूले ब्राउजरहरूलाई सुरक्षित इन्क्रिप्शन बिना जडान गर्न बाध्य पार्छन्, जसले गर्दा मालवेयरले ब्राउजिङ गतिविधि निगरानी गर्न र लगइन टोकनहरू र प्रमाणहरू जस्ता संवेदनशील जानकारीहरू सङ्कलन गर्न सक्छ।

मालवेयरको चोरी र दृढताले यसलाई असाधारण रूपमा खतरनाक बनाउँछ। गुप्तचर जानकारी सङ्कलन गर्दा र टाढाको पहुँच प्रदान गर्दा पत्ता नलाग्ने यसको क्षमताले राज्य-प्रायोजित साइबर सञ्चालनहरूमा यसको मूल्यलाई जोड दिन्छ।

छलका उपकरणहरू: सामाजिक इन्जिनियरिङ र संक्रमण भेक्टरहरू

ApolloShadow अभियानहरूले सामाजिक इन्जिनियरिङसँग प्राविधिक हेरफेर मिसाउँछन्। पीडितहरूलाई नेटवर्क-स्तरको आक्रमणहरू मार्फत पुन: निर्देशित र हेरफेर मात्र गरिँदैन तर विश्वसनीय सफ्टवेयरको आडमा दुर्भावनापूर्ण प्रमाणपत्रहरू स्थापना गर्न आग्रह गर्ने भ्रामक प्रम्प्टहरूद्वारा पनि लक्षित गरिन्छ।

अपोलोश्याडो अभियानहरू मुख्यतया ISP-स्तरको अवरोध र सामाजिक इन्जिनियरिङमा निर्भर भए तापनि, संक्रमण भेक्टरहरू परम्परागत मालवेयर डेलिभरी रणनीतिहरू मार्फत विस्तार हुन सक्छन्।

सामान्य मालवेयर वितरण विधिहरू :

भ्रामक रणनीतिहरू:

• फिसिङ सन्देशहरू (इमेलहरू, निजी सन्देशहरू, सामाजिक सञ्जाल पोस्टहरू)।
• दुर्भावनापूर्ण लिङ्क वा संलग्नकहरू।
• छलपूर्ण सफ्टवेयर अपडेट वा स्थापनाकर्ताहरू।

असुरक्षित डाउनलोड स्रोतहरू:

• अनौपचारिक वेबसाइटहरू।
• नि:शुल्क फाइल-होस्टिङ सेवाहरू।
• पियर-टु-पियर (P2P) साझेदारी प्लेटफर्महरू।

थप रूपमा, ApolloShadow जस्ता उन्नत उपकरणहरू सहित केही मालवेयर स्ट्रेनहरू स्थानीय नेटवर्कहरू मार्फत फैलिन सक्छन् वा USB ड्राइभ वा बाह्य हार्ड डिस्क जस्ता हटाउन सकिने भण्डारण उपकरणहरू प्रयोग गरेर फैलिन सक्छन्।

निष्कर्ष: एउटा गम्भीर जासुसी खतरा

ApolloShadow ले बलियो भूराजनीतिक प्रेरणाहरू सहितको गम्भीर साइबर जासुसी खतरालाई प्रतिनिधित्व गर्दछ। विश्वसनीय ब्रान्डहरू, भ्रामक नेटवर्क-स्तर आक्रमणहरू, र निरन्तर पहुँच विधिहरूको फाइदा उठाएर, Secret Blizzard ले गुप्तचर सङ्कलनको लागि एक शक्तिशाली उपकरण निर्माण गरेको छ। रूसी प्रभावका क्षेत्रहरूमा वा नजिकै सञ्चालन हुने संस्थाहरू, विशेष गरी स्थानीय ISP हरूमा भर पर्नेहरूले, यो विकसित खतराबाट बच्न उच्च सुरक्षा प्रोटोकलहरू अपनाउनु पर्छ।