Oferta rabatowa na wiele licencji
Baza danych zagrożeń Złośliwe oprogramowanie Oprogramowanie złośliwe ApolloShadow

Oprogramowanie złośliwe ApolloShadow

Do Mezo w Złośliwe oprogramowanie
Przetłumacz na:

ApolloShadow to wyrafinowany szczep złośliwego oprogramowania wykorzystywany w kampaniach cybernetycznego szpiegostwa prowadzonych przez grupę hakerów znaną jako Secret Blizzard. Grupa ta, uważana za część Federalnej Służby Bezpieczeństwa (FSB), jest powiązana z kilkoma innymi nazwami kodowymi, w tym ATG26, Blue Python, Snake, Turla, Uroburos, VENOMOUS BEAR, Waterbug i Wraith. Szkodliwe oprogramowanie jest aktywnie wykorzystywane w operacjach wymierzonych w wrażliwe podmioty w Moskwie od co najmniej 2024 roku, a wiele wskazuje na to, że kampanie te będą się dalej rozprzestrzeniać.

Spersonalizowane zagrożenie: pochodzenie i możliwości ApolloShadow

ApolloShadow to specjalnie opracowane złośliwe narzędzie do celów szpiegowskich. Jego wdrożenie jest powiązane z kampaniami wymierzonymi w instytucje dyplomatyczne i inne organizacje o wysokiej wartości, w szczególności te korzystające z rosyjskiego internetu i usług telekomunikacyjnych. Szkodliwe oprogramowanie rozprzestrzenia się za pomocą zaawansowanych technik AiTM (adversary-in-the-middle), w których atakujący przechwytują komunikację między ofiarą a legalnymi usługami.

W najnowszych kampaniach ApolloShadow technika AiTM została wdrożona na poziomie dostawcy usług internetowych (ISP). Ofiary były przekierowywane przez portal autoryzacyjny zaprojektowany tak, aby naśladować prawidłowe zachowanie systemu Windows. Po uruchomieniu wskaźnika stanu połączenia testowego systemu Windows, zamiast uzyskać dostęp do standardowej strony weryfikacyjnej, użytkownik był przekierowywany do domeny kontrolowanej przez atakujących. To przekierowanie powodowało wyświetlenie monitu zachęcającego użytkownika do zainstalowania fałszywego certyfikatu głównego, często podszywającego się pod renomowane programy zabezpieczające, w celu zainicjowania łańcucha infekcji.

Łamanie bezpieczeństwa: jak ApolloShadow narusza bezpieczeństwo urządzeń

Instalacja certyfikatu głównego to kluczowy moment, który przyznaje ApolloShadow dostęp do systemu. Po aktywacji wykonuje on kilka operacji:

  • Gromadzi informacje o urządzeniach i sieci, w tym adresy IP.
  • Próby uzyskania uprawnień administracyjnych za pomocą fałszywego monitu Kontroli konta użytkownika (UAC). W zaobserwowanych przypadkach instalator nosił nazwę „CertificateDB.exe”.
  • Wyświetla mylące okienka pop-up informujące o instalacji certyfikatów.

Po uzyskaniu wyższych uprawnień złośliwe oprogramowanie sprawia, że zainfekowane urządzenie staje się widoczne w sieci lokalnej. Następnie próbuje osłabić zabezpieczenia systemu, zmieniając ustawienia zapory sieciowej i włączając udostępnianie plików. Aby ominąć zabezpieczenia przeglądarki:

  • Przeglądarki oparte na Chromium automatycznie ufają złośliwym certyfikatom.
  • Jednak Firefox wymaga od złośliwego oprogramowania dodatkowych zmian w konfiguracji, aby uniknąć wykrycia.

ApolloShadow zapewnia również długoterminowy dostęp poprzez utworzenie stałego konta użytkownika administracyjnego o nazwie „UpdatusUser”, które wykorzystuje zakodowane na stałe, niewygasające hasło.

Głęboka infiltracja: co umożliwia ApolloShadow

Podejrzewa się, że ApolloShadow umożliwia ataki typu stripping TLS/SSL. Ataki te zmuszają przeglądarki do łączenia się bez bezpiecznego szyfrowania, co pozwala złośliwemu oprogramowaniu monitorować aktywność przeglądania i potencjalnie zbierać poufne informacje, takie jak tokeny logowania i dane uwierzytelniające.

Ukrywanie się i uporczywość złośliwego oprogramowania czynią je wyjątkowo niebezpiecznym. Jego zdolność do pozostawania niewykrytym podczas gromadzenia informacji wywiadowczych i zapewniania zdalnego dostępu podkreśla jego wartość w cyberoperacjach sponsorowanych przez państwo.

Narzędzia oszustwa: inżynieria społeczna i wektory infekcji

Kampanie ApolloShadow łączą manipulację techniczną z inżynierią społeczną. Ofiary są nie tylko przekierowywane i manipulowane za pomocą ataków sieciowych, ale także atakowane zwodniczymi komunikatami, które nakłaniają je do instalacji złośliwych certyfikatów pod przykrywką zaufanego oprogramowania.

Chociaż kampanie ApolloShadow opierają się przede wszystkim na przechwytywaniu na poziomie dostawcy usług internetowych i inżynierii społecznej, wektory infekcji mogą się rozszerzać za pośrednictwem bardziej konwencjonalnych taktyk dostarczania złośliwego oprogramowania.

Typowe metody dystrybucji złośliwego oprogramowania :

Taktyki oszukańcze:

  • Wiadomości phishingowe (e-maile, wiadomości prywatne, posty w mediach społecznościowych).
  • Złośliwe linki lub załączniki.
  • Fałszywe aktualizacje lub instalatory oprogramowania.

Niebezpieczne źródła pobierania:

  • Nieoficjalne strony internetowe.
  • Bezpłatne usługi hostingu plików.
  • Platformy udostępniania peer-to-peer (P2P).

Ponadto niektóre odmiany złośliwego oprogramowania, w tym zaawansowane narzędzia takie jak ApolloShadow, mogą rozprzestrzeniać się za pośrednictwem sieci lokalnych lub przy użyciu wymiennych urządzeń pamięci masowej, takich jak dyski USB lub zewnętrzne dyski twarde.

Wniosek: poważne zagrożenie szpiegostwem

ApolloShadow stanowi poważne zagrożenie cybernetyczne o silnych motywacjach geopolitycznych. Wykorzystując zaufane marki, zwodnicze ataki na poziomie sieci i uporczywe metody dostępu, Secret Blizzard stworzył potężne narzędzie do gromadzenia informacji wywiadowczych. Organizacje działające w regionach wpływów rosyjskich lub w ich pobliżu, zwłaszcza te, które polegają na lokalnych dostawcach usług internetowych, muszą wdrożyć zaostrzone protokoły bezpieczeństwa, aby bronić się przed tym rozwijającym się zagrożeniem.

Popularne

DHL Express – Oszustwo e-mailowe z błędnymi...

Phishing, Spam
Cyberprzestępcy nadal wykorzystują oszustwa oparte na wiadomościach e-mail, aby atakować niczego niepodejrzewających użytkowników. Jedną z takich krążących taktyk jest oszustwo „DHL Express – Nieprawidłowe Informacje Rozliczeniowe”, kampania phishingowa mająca na celu kradzież poufnych danych i potencjalne nakłonienie odbiorców do oszukańczych płatności. Te e-maile mogą na pierwszy rzut oka...

Najczęściej oglądane

Ładowanie...