Вредоносное ПО ApolloShadow
ApolloShadow — это сложная вредоносная программа, используемая в кибершпионских кампаниях, проводимых группой, известной как Secret Blizzard. Эта группа, предположительно являющаяся частью Федеральной службы безопасности (ФСБ) России, связана с несколькими другими кодовыми именами, включая ATG26, Blue Python, Snake, Turla, Uroburos, VENOMOUS BEAR, Waterbug и Wraith. Эта вредоносная программа активно использовалась в операциях, направленных против особо важных объектов в Москве, как минимум с 2024 года, и есть все основания полагать, что эти кампании будут расширяться.
Оглавление
Персонализированная угроза: происхождение и возможности ApolloShadow
ApolloShadow — это специально разработанный вредоносный инструмент, предназначенный для шпионажа. Его внедрение связано с кампаниями, направленными против дипломатических учреждений и других крупных организаций, особенно тех, которые используют российские интернет- и телекоммуникационные услуги. Вредоносное ПО распространяется с использованием передовых технологий «злоумышленник посередине» (AiTM), при которых злоумышленники перехватывают соединение между жертвой и легитимными сервисами.
В последних кампаниях ApolloShadow технология AiTM была реализована на уровне интернет-провайдера (ISP). Жертвы перенаправлялись через портал авторизации, имитирующий поведение легитимной системы Windows. При срабатывании индикатора состояния подключения Windows Test Connectivity вместо стандартной страницы проверки пользователь перенаправлялся на домен, контролируемый злоумышленниками. Это перенаправление приводило к предложению установить мошеннический корневой сертификат, часто замаскированный под надёжные антивирусные программы, для запуска цепочки заражения.
Нарушение безопасности: как ApolloShadow взламывает устройства
Установка корневого сертификата — ключевой момент, предоставляющий ApolloShadow доступ к системе. После активации он выполняет несколько операций:
- Собирает информацию об устройстве и сети, включая IP-адреса.
- Попытки получить права администратора через поддельное окно контроля учётных записей (UAC). В наблюдаемых случаях установщик назывался «CertificateDB.exe».
- Отображает обманчивые всплывающие окна, указывающие на установку сертификатов.
Получив повышенные привилегии, вредоносная программа делает заражённое устройство видимым в локальной сети. Затем она пытается ослабить защиту системы, изменяя настройки брандмауэра и разрешая общий доступ к файлам. Чтобы обойти защиту браузера:
- Браузеры на базе Chromium автоматически доверяют вредоносному сертификату.
- Однако для избежания обнаружения Firefox вредоносной программе необходимо внести дополнительные изменения в конфигурацию.
ApolloShadow также обеспечивает долгосрочный доступ, создавая постоянную учетную запись административного пользователя с именем «UpdatusUser», которая использует жестко запрограммированный пароль с неограниченным сроком действия.
Глубокое проникновение: что позволяет ApolloShadow
Предполагается, что ApolloShadow позволяет проводить атаки с перехватом TLS/SSL. Эти атаки заставляют браузеры подключаться без безопасного шифрования, что позволяет вредоносному ПО отслеживать активность в браузере и потенциально собирать конфиденциальную информацию, такую как токены входа и учётные данные.
Скрытность и стойкость вредоносного ПО делают его исключительно опасным. Его способность оставаться незамеченным при сборе разведывательной информации и предоставлении удалённого доступа подчёркивает его ценность в кибероперациях, спонсируемых государством.
Инструменты обмана: социальная инженерия и векторы заражения
Кампании ApolloShadow сочетают в себе техническое манипулирование с социальной инженерией. Жертв не только перенаправляют и манипулируют ими посредством сетевых атак, но и заставляют их устанавливать вредоносные сертификаты под видом доверенного программного обеспечения.
Хотя кампании ApolloShadow в первую очередь полагаются на перехват на уровне интернет-провайдера и социальную инженерию, векторы заражения могут расширяться за счет более традиционных тактик доставки вредоносного ПО.
Распространенные методы распространения вредоносных программ :
Обманные приемы:
- Фишинговые сообщения (электронные письма, личные сообщения, сообщения в социальных сетях).
- Вредоносные ссылки или вложения.
- Мошеннические обновления или установщики программного обеспечения.
Небезопасные источники загрузки:
- Неофициальные сайты.
- Бесплатные службы хостинга файлов.
- Платформы обмена данными по технологии Peer-to-Peer (P2P).
Кроме того, некоторые виды вредоносного ПО, включая такие продвинутые инструменты, как ApolloShadow, могут распространяться через локальные сети или распространяться с использованием съемных устройств хранения данных, таких как USB-накопители или внешние жесткие диски.
Заключение: серьезная угроза шпионажа
ApolloShadow представляет собой серьёзную угрозу кибершпионажа с ярко выраженной геополитической мотивацией. Используя проверенные бренды, мошеннические атаки на сетевом уровне и методы постоянного доступа, Secret Blizzard создала мощный инструмент для сбора разведывательной информации. Организации, работающие в регионах, находящихся под влиянием России, или вблизи них, особенно те, которые полагаются на местных интернет-провайдеров, должны внедрить усиленные протоколы безопасности для защиты от этой меняющейся угрозы.
