Multilicenčná zľavová ponuka
Databáza hrozieb Malvér Malvér ApolloShadow

Malvér ApolloShadow

Do roku Mezo v roku Malvér
Preložiť do:

ApolloShadow je sofistikovaný kmeň malvéru nasadený v kybernetických špionážnych kampaniach vedených aktérom známym ako Secret Blizzard. Táto skupina, o ktorej sa predpokladá, že je súčasťou ruskej Federálnej bezpečnostnej služby (FSB), je spájaná s niekoľkými ďalšími krycími menami vrátane ATG26, Blue Python, Snake, Turla, Uroburos, VENOMOUS BEAR, Waterbug a Wraith. Malvér sa aktívne používa v operáciách zameraných na citlivé subjekty v Moskve minimálne od roku 2024, pričom existujú silné náznaky, že tieto kampane sa budú ďalej rozširovať.

Prispôsobená hrozba: Pôvod a schopnosti ApolloShadow

ApolloShadow je na mieru vytvorený škodlivý nástroj určený na špionáž. Jeho nasadenie je spojené s kampaňami zameranými na diplomatické inštitúcie a iné organizácie s vysokou hodnotou, najmä tie, ktoré sa spoliehajú na ruské internetové a telekomunikačné služby. Škodlivý softvér sa šíri pomocou pokročilých techník protivníka v strede (AiTM), kde útočníci zachytávajú komunikáciu medzi obeťou a legitímnymi službami.

V najnovších kampaniach spoločnosti ApolloShadow bola technika AiTM implementovaná na úrovni poskytovateľa internetových služieb (ISP). Obete boli presmerované cez captive portál navrhnutý tak, aby napodobňoval legitímne správanie systému Windows. Po spustení indikátora stavu testovania pripojenia systému Windows bol používateľ namiesto prístupu na štandardnú overovaciu stránku presmerovaný na doménu kontrolovanú útočníkmi. Toto presmerovanie viedlo k výzve, ktorá používateľa povzbudzovala k inštalácii podvodného koreňového certifikátu, často maskovaného ako renomované bezpečnostné programy, aby sa spustil reťazec infekcie.

Prelomenie bezpečnosti: Ako ApolloShadow ohrozuje zariadenia

Inštalácia koreňového certifikátu je kľúčovým momentom, ktorý udeľuje ApolloShadow prístup k systému. Po aktivácii vykonáva niekoľko operácií:

  • Zhromažďuje informácie o zariadeniach a sieti vrátane IP adries.
  • Pokusy o získanie administrátorských oprávnení prostredníctvom falošného príkazového riadka Kontrola používateľských kont (UAC). V pozorovaných prípadoch mal inštalátor názov „CertificateDB.exe“.
  • Zobrazuje klamlivé kontextové okná, ktoré oznamujú, že sa inštalujú certifikáty.

Po získaní zvýšených oprávnení malvér sprístupní infikované zariadenie v lokálnej sieti. Potom sa pokúsi oslabiť obranu systému zmenou nastavení brány firewall a povolením zdieľania súborov. Ak chcete obísť zabezpečenie prehliadača:

  • Prehliadače založené na prehliadači Chromium automaticky dôverujú škodlivému certifikátu.
  • Firefox však vyžaduje dodatočné zmeny konfigurácie zo strany škodlivého softvéru, aby sa predišlo jeho odhaleniu.

ApolloShadow tiež zabezpečuje dlhodobý prístup vytvorením trvalého administrátorského používateľského účtu s názvom „UpdatusUser“, ktorý používa pevne zakódované heslo s neobmedzenou platnosťou.

Hlboká infiltrácia: Čo umožňuje ApolloShadow

Predpokladá sa, že ApolloShadow umožňuje útoky na odstránenie TLS/SSL. Tieto útoky nútia prehliadače pripojiť sa bez bezpečného šifrovania, čo umožňuje malvéru monitorovať aktivitu prehliadania a potenciálne zhromažďovať citlivé informácie, ako sú prihlasovacie tokeny a poverenia.

Vďaka svojej nenápadnosti a vytrvalosti je malvér mimoriadne nebezpečný. Jeho schopnosť zostať nepozorovaný pri zhromažďovaní spravodajských informácií a poskytovaní vzdialeného prístupu podčiarkuje jeho hodnotu v štátom sponzorovaných kybernetických operáciách.

Nástroje klamstva: Sociálne inžinierstvo a vektory infekcie

Kampane ApolloShadow kombinujú technickú manipuláciu so sociálnym inžinierstvom. Obete sú nielen presmerované a manipulované prostredníctvom útokov na úrovni siete, ale sú tiež terčom klamlivých výziev, ktoré ich nabádajú k inštalácii škodlivých certifikátov pod rúškom dôveryhodného softvéru.

Zatiaľ čo kampane ApolloShadow sa primárne spoliehajú na zachytávanie a sociálne inžinierstvo na úrovni poskytovateľov internetových služieb, vektory infekcie sa môžu rozšíriť aj prostredníctvom konvenčnejších taktík doručovania malvéru.

Bežné metódy distribúcie škodlivého softvéru :

Klamlivé taktiky:

  • Phishingové správy (e-maily, súkromné správy, príspevky na sociálnych sieťach).
  • Škodlivé odkazy alebo prílohy.
  • Podvodné aktualizácie alebo inštalátory softvéru.

Nebezpečné zdroje na stiahnutie:

  • Neoficiálne webové stránky.
  • Bezplatné služby hostingu súborov.
  • Platformy na zdieľanie typu peer-to-peer (P2P).

Okrem toho sa niektoré kmene škodlivého softvéru vrátane pokročilých nástrojov, ako je ApolloShadow, môžu šíriť prostredníctvom lokálnych sietí alebo pomocou vymeniteľných úložných zariadení, ako sú USB disky alebo externé pevné disky.

Záver: Vážna hrozba špionáže

ApolloShadow predstavuje vážnu hrozbu kybernetickej špionáže so silnými geopolitickými motiváciami. Využívaním dôveryhodných značiek, klamlivých útokov na úrovni siete a metód pretrvávajúceho prístupu si spoločnosť Secret Blizzard vybudovala silný nástroj na zhromažďovanie spravodajských informácií. Organizácie pôsobiace v oblastiach s ruským vplyvom alebo v ich blízkosti, najmä tie, ktoré sa spoliehajú na miestnych poskytovateľov internetových služieb, musia prijať zvýšené bezpečnostné protokoly na obranu proti tejto vyvíjajúcej sa hrozbe.

Trendy

DHL Express – Podvodný e-mail s nesprávnymi...

Phishing, Spam
Kyberzločinci sa naďalej spoliehajú na podvody prostredníctvom e-mailov, aby zacielili na nič netušiacich jednotlivcov. Jednou z takýchto taktík, ktoré sa šíria, je podvod „DHL Express – Nesprávne fakturačné informácie“, čo je phishingová kampaň navrhnutá tak, aby ukradla citlivé údaje a potenciálne oklamala príjemcov a prinútila ich k podvodným platbám. Tieto e-maily sa môžu na prvý pohľad...

Najviac videné

Načítava...