Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Programe malware Programe malware ApolloShadow

Programe malware ApolloShadow

Până în Mezo în Programe malware
Tradu in:

ApolloShadow este o tulpină sofisticată de malware utilizată în campanii de spionaj cibernetic conduse de un actor de amenințare cunoscut sub numele de Secret Blizzard. Acest grup, despre care se crede că face parte din Serviciul Federal de Securitate (FSB) al Rusiei, este asociat cu alte câteva nume de cod, inclusiv ATG26, Blue Python, Snake, Turla, Uroburos, VENOMOUS BEAR, Waterbug și Wraith. Malware-ul a fost utilizat activ în operațiuni care vizează entități sensibile din Moscova cel puțin din 2024, existând indicii puternice că aceste campanii se vor extinde în continuare.

O amenințare personalizată: originea și capacitățile ApolloShadow

ApolloShadow este un instrument malițios personalizat, conceput pentru spionaj. Implementarea sa este legată de campanii care vizează instituțiile diplomatice și alte organizații de mare valoare, în special cele care se bazează pe serviciile de internet și telecomunicații rusești. Programul malware este răspândit folosind tehnici avansate de tip „adversar-in-the-middle” (AiTM), prin care atacatorii interceptează comunicarea dintre victimă și serviciile legitime.

În cele mai recente campanii ale ApolloShadow, tehnica AiTM a fost implementată la nivel de furnizor de servicii Internet (ISP). Victimele au fost redirecționate printr-un portal captiv conceput pentru a imita comportamentul legitim al Windows. Când Indicatorul de stare a conectivității de testare Windows era declanșat, în loc să acceseze o pagină standard de verificare, utilizatorul era trimis către un domeniu controlat de atacatori. Această redirecționare a dus la o solicitare care încuraja utilizatorul să instaleze un certificat rădăcină fraudulos, adesea deghizat în programe de securitate reputate, pentru a iniția lanțul de infectare.

Spargerea securității: Cum compromite ApolloShadow dispozitivele

Instalarea certificatului rădăcină este momentul crucial care acordă ApolloShadow acces la sistem. Odată activ, acesta efectuează mai multe operațiuni:

  • Colectează informații despre dispozitiv și rețea, inclusiv adrese IP.
  • Încercări de obținere a privilegiilor administrative printr-o solicitare falsă de Control al contului de utilizator (UAC). În cazurile observate, programul de instalare se numea „CertificateDB.exe”.
  • Afișează ferestre pop-up înșelătoare care indică faptul că se instalează certificate.

După ce obține privilegii sporite, malware-ul face ca dispozitivul infectat să fie detectabil în rețeaua locală. Apoi încearcă să slăbească apărarea sistemului prin modificarea setărilor firewall-ului și activarea partajării fișierelor. Pentru a ocoli securitatea browserului:

  • Browserele bazate pe Chromium au încredere automat în certificatul rău intenționat.
  • Firefox, însă, necesită modificări suplimentare de configurație din partea malware-ului pentru a evita detectarea.

ApolloShadow asigură, de asemenea, acces pe termen lung prin crearea unui cont de utilizator administrativ persistent numit „UpdatusUser”, care folosește o parolă hardcoded, care nu expiră.

Infiltrare profundă: Ce permite ApolloShadow

Se suspectează că ApolloShadow permite atacuri de tip „stripping” TLS/SSL. Aceste atacuri forțează browserele să se conecteze fără criptare securizată, permițând malware-ului să monitorizeze activitatea de navigare și să colecteze informații sensibile, cum ar fi token-uri de conectare și acreditări.

Furtivitatea și persistența malware-ului îl fac excepțional de periculos. Capacitatea sa de a rămâne nedetectat în timp ce colectează informații și oferă acces de la distanță subliniază valoarea sa în operațiunile cibernetice sponsorizate de stat.

Instrumente ale înșelăciunii: inginerie socială și vectori de infecție

Campaniile ApolloShadow combină manipularea tehnică cu ingineria socială. Victimele nu sunt doar redirecționate și manipulate prin atacuri la nivel de rețea, ci sunt și vizate cu solicitări înșelătoare care le îndeamnă să instaleze certificate malițioase sub pretextul unui software de încredere.

Deși campaniile ApolloShadow se bazează în principal pe interceptarea la nivel de ISP și inginerie socială, vectorii de infecție se pot extinde prin tactici mai convenționale de livrare a programelor malware.

Metode comune de răspândire a programelor malware :

Tactici înșelătoare:

  • Mesaje de phishing (e-mailuri, mesaje private, postări pe rețelele sociale).
  • Linkuri sau atașamente rău intenționate.
  • Actualizări sau programe de instalare frauduloase de software.

Surse de descărcare nesigure:

  • Site-uri web neoficiale.
  • Servicii gratuite de găzduire de fișiere.
  • Platforme de partajare peer-to-peer (P2P).

În plus, unele tulpini de malware, inclusiv instrumente avansate precum ApolloShadow, se pot propaga prin rețele locale sau se pot răspândi folosind dispozitive de stocare amovibile, cum ar fi unități USB sau hard disk-uri externe.

Concluzie: O amenințare serioasă de spionaj

ApolloShadow reprezintă o amenințare serioasă de spionaj cibernetic, cu puternice motivații geopolitice. Prin valorificarea unor mărci de încredere, a atacurilor înșelătoare la nivel de rețea și a metodelor persistente de acces, Secret Blizzard a construit un instrument puternic pentru colectarea de informații. Organizațiile care operează în sau în apropierea regiunilor de influență rusă, în special cele care se bazează pe furnizori de servicii de internet locali, trebuie să adopte protocoale de securitate sporite pentru a se apăra împotriva acestei amenințări în continuă evoluție.

Trending

DHL Express - Escrocherie prin e-mail cu informații...

phishing, Spam
Infractorii cibernetici continuă să se bazeze pe înșelăciunile bazate pe e-mail pentru a viza persoane neașteptate. O astfel de tactică care face furori este escrocheria „DHL Express - Informații de facturare incorecte”, o campanie de phishing concepută pentru a fura date sensibile și a păcăli destinatarii să efectueze plăți frauduloase. Aceste e-mailuri pot părea credibile la prima vedere, dar...

Cele mai văzute

Se încarcă...