Popust za več licenc
Podjetje o grožnjah Zlonamerna programska oprema Zlonamerna programska oprema ApolloShadow

Zlonamerna programska oprema ApolloShadow

Do leta Mezo leta Zlonamerna programska oprema
Prevedi v:

ApolloShadow je sofisticiran sev zlonamerne programske opreme, ki se uporablja v kampanjah kibernetskega vohunjenja, ki jih izvaja akter, znan kot Secret Blizzard. Ta skupina, za katero velja, da je del ruske Federalne varnostne službe (FSB), je povezana z več drugimi kodnimi imeni, vključno z ATG26, Blue Python, Snake, Turla, Uroburos, VENOMOUS BEAR, Waterbug in Wraith. Zlonamerna programska oprema se aktivno uporablja v operacijah, usmerjenih proti občutljivim subjektom v Moskvi, vsaj od leta 2024, z močnimi znaki, da se bodo te kampanje še razširile.

Prilagojena grožnja: Izvor in zmogljivosti ApolloShadowa

ApolloShadow je posebej izdelano zlonamerno orodje, zasnovano za vohunjenje. Njegova uporaba je povezana s kampanjami, usmerjenimi proti diplomatskim ustanovam in drugim organizacijam z visoko vrednostjo, zlasti tistim, ki so odvisne od ruskih internetnih in telekomunikacijskih storitev. Zlonamerna programska oprema se širi z uporabo naprednih tehnik nasprotnika v sredini (AiTM), kjer napadalci prestrežejo komunikacijo med žrtvijo in legitimnimi storitvami.

V najnovejših kampanjah ApolloShadow je bila tehnika AiTM implementirana na ravni ponudnika internetnih storitev (ISP). Žrtve so bile preusmerjene prek ujetniškega portala, zasnovanega za posnemanje legitimnega delovanja sistema Windows. Ko se je sprožil indikator stanja testne povezljivosti sistema Windows, je bil uporabnik namesto dostopa do standardne strani za preverjanje poslan na domeno, ki jo nadzorujejo napadalci. Ta preusmeritev je privedla do poziva, ki je uporabnika spodbudil k namestitvi lažnega korenskega potrdila, pogosto prikritega kot ugledni varnostni programi, da bi sprožil verigo okužbe.

Kršenje varnosti: Kako ApolloShadow ogroža naprave

Namestitev korenskega potrdila je ključni trenutek, ki ApolloShadowu omogoči dostop do sistema. Ko je aktiven, izvede več operacij:

  • Zbira podatke o napravi in omrežju, vključno z naslovi IP.
  • Poskusi pridobitve skrbniških pravic prek lažnega poziva za nadzor uporabniških računov (UAC). V opaženih primerih je bil namestitveni program poimenovan »CertificateDB.exe«.
  • Prikazuje zavajajoča pojavna okna, ki označujejo, da se nameščajo potrdila.

Ko pridobi povišane privilegije, zlonamerna programska oprema omogoči, da je okužena naprava vidna v lokalnem omrežju. Nato poskuša oslabiti obrambo sistema s spreminjanjem nastavitev požarnega zidu in omogočanjem skupne rabe datotek. Če želite zaobiti varnost brskalnika:

  • Brskalniki, ki temeljijo na Chromiumu, samodejno zaupajo zlonamernemu potrdilu.
  • Vendar pa Firefox zahteva dodatne spremembe konfiguracije s strani zlonamerne programske opreme, da se izogne zaznavanju.

ApolloShadow zagotavlja tudi dolgoročni dostop z ustvarjanjem trajnega skrbniškega uporabniškega računa z imenom »UpdatusUser«, ki uporablja trdo kodirano geslo brez poteka veljavnosti.

Globoka infiltracija: Kaj omogoča ApolloShadow

Domneva se, da ApolloShadow omogoča napade odstranjevanja TLS/SSL. Ti napadi silijo brskalnike, da se povežejo brez varnega šifriranja, kar zlonamerni programski opremi omogoča spremljanje dejavnosti brskanja in morebitno zbiranje občutljivih podatkov, kot so prijavni žetoni in poverilnice.

Zaradi prikritosti in vztrajnosti je zlonamerna programska oprema izjemno nevarna. Njena sposobnost, da ostane neopažena med zbiranjem obveščevalnih podatkov in zagotavljanjem oddaljenega dostopa, poudarja njeno vrednost v kibernetskih operacijah, ki jih sponzorira država.

Orodja prevare: socialni inženiring in vektorji okužb

Kampanje ApolloShadow združujejo tehnično manipulacijo s socialnim inženiringom. Žrtve niso le preusmerjene in manipulirane z napadi na ravni omrežja, temveč so tarča tudi zavajajočih pozivov, ki jih spodbujajo k namestitvi zlonamernih potrdil pod krinko zaupanja vredne programske opreme.

Medtem ko se kampanje ApolloShadow v prvi vrsti zanašajo na prestrezanje in socialni inženiring na ravni ponudnikov internetnih storitev, se lahko vektorji okužbe razširijo z bolj običajnimi taktikami dostave zlonamerne programske opreme.

Pogoste metode distribucije zlonamerne programske opreme :

Zavajajoče taktike:

  • Lažna sporočila (e-pošta, zasebna sporočila, objave na družbenih omrežjih).
  • Zlonamerne povezave ali priloge.
  • Goljufive posodobitve ali namestitveni programi programske opreme.

Nevarni viri za prenos:

  • Neuradne spletne strani.
  • Brezplačne storitve gostovanja datotek.
  • Platforme za deljenje med posamezniki (P2P).

Poleg tega se lahko nekateri sevi zlonamerne programske opreme, vključno z naprednimi orodji, kot je ApolloShadow, širijo prek lokalnih omrežij ali z uporabo odstranljivih naprav za shranjevanje, kot so pogoni USB ali zunanji trdi diski.

Zaključek: Resna grožnja vohunjenja

ApolloShadow predstavlja resno grožnjo kibernetskega vohunjenja z močnimi geopolitičnimi motivi. Z uporabo zaupanja vrednih blagovnih znamk, zavajajočih napadov na ravni omrežja in metod trajnega dostopa je Secret Blizzard zgradil močno orodje za zbiranje obveščevalnih podatkov. Organizacije, ki delujejo v regijah z ruskim vplivom ali v njihovi bližini, zlasti tiste, ki so odvisne od lokalnih ponudnikov internetnih storitev, morajo sprejeti okrepljene varnostne protokole za obrambo pred to razvijajočo se grožnjo.

V trendu

DHL Express - Prevara z napačnimi podatki za...

Lažno predstavljanje, Neželena pošta
Kibernetski kriminalci se še naprej zanašajo na prevare prek e-pošte, da bi ciljali na nič hudega sluteče posameznike. Ena takšnih taktik, ki kroži, je prevara »DHL Express – Napačni podatki za obračun«, phishing kampanja, namenjena kraji občutljivih podatkov in morebitnemu zavajanju prejemnikov v goljufiva plačila. Ta e-poštna sporočila se na prvi pogled morda zdijo verodostojna, vendar...

Najbolj gledan

Nalaganje...