Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware ApolloShadow Malware

ApolloShadow Malware

Nga MezoMalware
Përkthe në:

ApolloShadow është një lloj i sofistikuar i malware-it i vendosur në fushatat e spiunazhit kibernetik të kryera nga një aktor kërcënimi i njohur si Secret Blizzard. Ky grup, që besohet të jetë pjesë e Shërbimit Federal të Sigurisë (FSB) të Rusisë, është i lidhur me disa emra të tjerë të koduar, duke përfshirë ATG26, Blue Python, Snake, Turla, Uroburos, VENOMOUS BEAR, Waterbug dhe Wraith. Malware është përdorur në mënyrë aktive në operacione që synojnë entitete të ndjeshme në Moskë që nga të paktën viti 2024, me indikacione të forta se këto fushata do të zgjerohen më tej.

Një kërcënim i personalizuar: Origjina dhe aftësitë e ApolloShadow

ApolloShadow është një mjet keqdashës i krijuar me porosi, i projektuar për spiunazh. Vendosja e tij lidhet me fushata që synojnë institucionet diplomatike dhe organizata të tjera me vlerë të lartë, veçanërisht ato që mbështeten në shërbimet ruse të internetit dhe telekomunikacionit. Malware përhapet duke përdorur teknika të përparuara kundërshtar-në-mes (AiTM), ku sulmuesit ndërpresin komunikimin midis viktimës dhe shërbimeve legjitime.

Në fushatat e fundit të ApolloShadow, teknika AiTM u zbatua në nivelin e Ofruesit të Shërbimit të Internetit (ISP). Viktimat u ridrejtuan përmes një portali të kapur të projektuar për të imituar sjelljen legjitime të Windows. Kur u aktivizua Treguesi i Statusit të Lidhshmërisë së Testit të Windows, në vend që të hynte në një faqe standarde verifikimi, përdoruesi u dërgua në një domen të kontrolluar nga sulmuesit. Ky ridrejtim çoi në një kërkesë që e inkurajoi përdoruesin të instalonte një certifikatë rrënjë mashtruese, shpesh të maskuar si programe sigurie me reputacion të mirë, për të filluar zinxhirin e infeksionit.

Thyerja e Sigurisë: Si ApolloShadow Kompromenton Pajisjet

Instalimi i certifikatës rrënjë është momenti vendimtar që i jep ApolloShadow akses në sistem. Pasi të jetë aktiv, ai kryen disa operacione:

  • Mbledh informacione për pajisjen dhe rrjetin, duke përfshirë adresat IP.
  • Përpjekje për të marrë privilegje administratori përmes një komande të rreme të Kontrollit të Llogarisë së Përdoruesit (UAC). Në rastet e vëzhguara, instaluesi u emërua 'CertificateDB.exe'.
  • Shfaq dritare mashtruese që tregojnë se po instalohen certifikata.

Pasi fiton privilegje të larta, programi keqdashës e bën pajisjen e infektuar të zbulueshme në rrjetin lokal. Më pas përpiqet të dobësojë mbrojtjen e sistemit duke ndryshuar cilësimet e firewall-it dhe duke aktivizuar ndarjen e skedarëve. Për të anashkaluar sigurinë e shfletuesit:

  • Shfletuesit e bazuar në Chromium i besojnë automatikisht certifikatës keqdashëse.
  • Megjithatë, Firefox kërkon ndryshime shtesë të konfigurimit nga programi keqdashës për të shmangur zbulimin.

ApolloShadow siguron gjithashtu akses afatgjatë duke krijuar një llogari përdoruesi administrativ të përhershëm të quajtur 'UpdatusUser', e cila përdor një fjalëkalim të koduar dhe që nuk skadon.

Infiltrim i Thellë: Çfarë Mundëson ApolloShadow

Dyshohet se ApolloShadow mundëson sulme zhveshjeje TLS/SSL. Këto sulme i detyrojnë shfletuesit të lidhen pa enkriptim të sigurt, duke i lejuar malware-it të monitorojë aktivitetin e shfletimit dhe potencialisht të mbledhë informacione të ndjeshme si tokenët e hyrjes dhe kredencialet.

Fshehtësia dhe qëndrueshmëria e malware-it e bëjnë atë jashtëzakonisht të rrezikshëm. Aftësia e tij për të mbetur i pazbuluar gjatë mbledhjes së inteligjencës dhe ofrimit të aksesit në distancë nënvizon vlerën e tij në operacionet kibernetike të sponsorizuara nga shteti.

Mjetet e Mashtrimit: Inxhinieria Sociale dhe Vektorët e Infeksionit

Fushatat ApolloShadow përziejnë manipulimin teknik me inxhinierinë sociale. Viktimat jo vetëm që ridrejtohen dhe manipulohen përmes sulmeve në nivel rrjeti, por gjithashtu shënjestrohen me mesazhe mashtruese që i nxisin ata të instalojnë certifikata keqdashëse nën maskën e softuerit të besuar.

Ndërsa fushatat ApolloShadow mbështeten kryesisht në përgjimin në nivel ISP dhe inxhinierinë sociale, vektorët e infeksionit mund të zgjerohen përmes taktikave më konvencionale të shpërndarjes së malware-it.

Metodat e zakonshme të shpërndarjes së programeve keqdashëse :

Taktikat mashtruese:

  • Mesazhe phishing (email-e, mesazhe private, postime në mediat sociale).
  • Lidhje ose bashkëngjitje keqdashëse.
  • Përditësime ose instalues mashtrues të softuerëve.

Burime të pasigurta shkarkimi:

  • Faqet e internetit jozyrtare.
  • Shërbime falas për hostimin e skedarëve.
  • Platformat e ndarjes peer-to-peer (P2P).

Për më tepër, disa lloje programesh keqdashëse, duke përfshirë mjete të përparuara si ApolloShadow, mund të përhapen nëpërmjet rrjeteve lokale ose duke përdorur pajisje të lëvizshme ruajtjeje, siç janë disqet USB ose disqet e jashtme të forta.

Përfundim: Një kërcënim serioz spiunazhi

ApolloShadow përfaqëson një kërcënim serioz të spiunazhit kibernetik me motive të forta gjeopolitike. Duke shfrytëzuar markat e besuara, sulmet mashtruese në nivel rrjeti dhe metodat e vazhdueshme të aksesit, Secret Blizzard ka ndërtuar një mjet të fuqishëm për mbledhjen e inteligjencës. Organizatat që veprojnë në ose afër rajoneve me ndikim rus, veçanërisht ato që mbështeten në ofruesit e shërbimeve të internetit lokale, duhet të miratojnë protokolle të përforcuara sigurie për t'u mbrojtur kundër këtij kërcënimi në zhvillim.

Në trend

DHL Express - Mashtrim me email me informacion të...

Fishing, Spam
Kriminelët kibernetikë vazhdojnë të mbështeten në mashtrimin e bazuar në email për të synuar individë të pavetëdijshëm. Një taktikë e tillë që po përhapet është mashtrimi 'DHL Express - Informacion i pasaktë faturimi', një fushatë phishing e projektuar për të vjedhur të dhëna të ndjeshme dhe potencialisht për të mashtruar marrësit që të bëjnë pagesa mashtruese. Këto email-e mund të duken të...

Më e shikuara

Po ngarkohet...