มัลแวร์ ApolloShadow
ApolloShadow เป็นมัลแวร์สายพันธุ์ซับซ้อนที่ถูกใช้ในปฏิบัติการจารกรรมทางไซเบอร์โดยผู้ก่อภัยคุกคามที่รู้จักกันในชื่อ Secret Blizzard กลุ่มนี้เชื่อว่าเป็นส่วนหนึ่งของหน่วยข่าวกรองกลางของรัสเซีย (FSB) และมีความเกี่ยวข้องกับรหัสอื่นๆ อีกหลายชื่อ ได้แก่ ATG26, Blue Python, Snake, Turla, Uroburos, VENOMOUS BEAR, Waterbug และ Wraith มัลแวร์นี้ถูกใช้อย่างแข็งขันในปฏิบัติการที่มุ่งเป้าไปที่กลุ่มบุคคลที่มีความอ่อนไหวในมอสโกมาตั้งแต่ปี 2024 เป็นอย่างน้อย โดยมีสัญญาณบ่งชี้ที่ชัดเจนว่าปฏิบัติการเหล่านี้จะขยายตัวต่อไป
สารบัญ
ภัยคุกคามที่ปรับแต่ง: ต้นกำเนิดและความสามารถของ ApolloShadow
ApolloShadow เป็นเครื่องมืออันตรายที่สร้างขึ้นโดยเฉพาะสำหรับการจารกรรม การใช้งานเชื่อมโยงกับแคมเปญที่มุ่งเป้าไปที่สถาบันการทูตและองค์กรที่มีมูลค่าสูงอื่นๆ โดยเฉพาะอย่างยิ่งองค์กรที่พึ่งพาบริการอินเทอร์เน็ตและโทรคมนาคมของรัสเซีย มัลแวร์นี้แพร่กระจายโดยใช้เทคนิค Adversary-in-the-Middle (AiTM) ขั้นสูง ซึ่งผู้โจมตีจะสกัดกั้นการสื่อสารระหว่างเหยื่อกับบริการที่ถูกต้องตามกฎหมาย
ในแคมเปญล่าสุดของ ApolloShadow เทคนิค AiTM ถูกนำไปใช้ในระดับผู้ให้บริการอินเทอร์เน็ต (ISP) เหยื่อจะถูกเปลี่ยนเส้นทางผ่านพอร์ทัลแบบ Captive ที่ออกแบบมาเพื่อเลียนแบบพฤติกรรม Windows ที่ถูกต้อง เมื่อตัวบ่งชี้สถานะการเชื่อมต่อการทดสอบ Windows ถูกเรียกใช้งาน แทนที่จะเข้าถึงหน้ายืนยันมาตรฐาน ผู้ใช้จะถูกส่งไปยังโดเมนที่ผู้โจมตีควบคุม การเปลี่ยนเส้นทางนี้นำไปสู่ข้อความแจ้งเตือนที่แนะนำให้ผู้ใช้ติดตั้งใบรับรองรูทปลอม ซึ่งมักปลอมแปลงเป็นโปรแกรมรักษาความปลอดภัยที่มีชื่อเสียง เพื่อเริ่มต้นห่วงโซ่การติดเชื้อ
การทำลายความปลอดภัย: ApolloShadow ทำลายอุปกรณ์อย่างไร
การติดตั้งใบรับรองรูทถือเป็นจุดสำคัญที่ทำให้ ApolloShadow สามารถเข้าถึงระบบได้ เมื่อเปิดใช้งานแล้ว ApolloShadow จะดำเนินการต่างๆ ดังนี้
- รวบรวมข้อมูลอุปกรณ์และเครือข่ายรวมทั้งที่อยู่ IP
- พยายามรับสิทธิ์ผู้ดูแลระบบผ่านพรอมต์การควบคุมบัญชีผู้ใช้ (UAC) ปลอม ในบางกรณีที่พบ โปรแกรมติดตั้งมีชื่อว่า 'CertificateDB.exe'
- แสดงป๊อปอัปหลอกลวงที่ระบุว่าใบรับรองกำลังได้รับการติดตั้ง
หลังจากได้รับสิทธิ์ระดับสูงแล้ว มัลแวร์จะทำให้อุปกรณ์ที่ติดไวรัสสามารถค้นพบได้บนเครือข่ายท้องถิ่น จากนั้นจะพยายามลดทอนการป้องกันของระบบโดยการเปลี่ยนแปลงการตั้งค่าไฟร์วอลล์และเปิดใช้งานการแชร์ไฟล์ วิธีเลี่ยงผ่านความปลอดภัยของเบราว์เซอร์:
- เบราว์เซอร์ที่ใช้โครเมียมจะเชื่อถือใบรับรองที่เป็นอันตรายโดยอัตโนมัติ
- อย่างไรก็ตาม Firefox จำเป็นต้องมีการเปลี่ยนแปลงการกำหนดค่าเพิ่มเติมโดยมัลแวร์เพื่อหลีกเลี่ยงการตรวจจับ
ApolloShadow ยังรับประกันการเข้าถึงในระยะยาวโดยการสร้างบัญชีผู้ใช้ผู้ดูแลระบบถาวรชื่อ 'UpdatusUser' ซึ่งใช้รหัสผ่านแบบฮาร์ดโค้ดที่ไม่หมดอายุ
การแทรกซึมลึก: ApolloShadow ช่วยให้ทำอะไรได้บ้าง
ApolloShadow ถูกสงสัยว่าอาจเปิดใช้งานการโจมตีแบบ TLS/SSL stripping การโจมตีเหล่านี้บังคับให้เบราว์เซอร์เชื่อมต่อโดยไม่มีการเข้ารหัสที่ปลอดภัย ทำให้มัลแวร์สามารถตรวจสอบกิจกรรมการท่องเว็บและอาจขโมยข้อมูลสำคัญ เช่น โทเค็นการเข้าสู่ระบบและข้อมูลประจำตัว
ความสามารถในการซ่อนตัวและคงอยู่ของมัลแวร์ทำให้มันอันตรายอย่างยิ่ง ความสามารถในการไม่ถูกตรวจจับขณะรวบรวมข้อมูลข่าวกรองและการเข้าถึงจากระยะไกล ตอกย้ำคุณค่าของมันในปฏิบัติการทางไซเบอร์ที่รัฐให้การสนับสนุน
เครื่องมือแห่งการหลอกลวง: วิศวกรรมสังคมและเวกเตอร์การติดเชื้อ
แคมเปญ ApolloShadow ผสมผสานการหลอกลวงทางเทคนิคเข้ากับวิศวกรรมสังคม เหยื่อไม่เพียงแต่ถูกเปลี่ยนเส้นทางและถูกหลอกลวงผ่านการโจมตีระดับเครือข่ายเท่านั้น แต่ยังตกเป็นเป้าหมายของการแจ้งเตือนหลอกลวงที่ชักจูงให้พวกเขาติดตั้งใบรับรองที่เป็นอันตรายภายใต้หน้ากากของซอฟต์แวร์ที่เชื่อถือได้อีกด้วย
แม้ว่าแคมเปญ ApolloShadow จะอาศัยการสกัดกั้นระดับ ISP และวิศวกรรมทางสังคมเป็นหลัก แต่เวกเตอร์การติดเชื้ออาจขยายตัวผ่านกลวิธีการส่งมัลแวร์แบบธรรมดามากขึ้น
วิธีการกระจายมัลแวร์ทั่วไป :
กลวิธีหลอกลวง:
- ข้อความฟิชชิ่ง (อีเมล, ข้อความส่วนตัว, โพสต์บนโซเชียลมีเดีย)
- ลิงค์หรือไฟล์แนบที่เป็นอันตราย
- การอัปเดตหรือติดตั้งซอฟต์แวร์ที่เป็นการฉ้อโกง
แหล่งดาวน์โหลดที่ไม่ปลอดภัย:
- เว็บไซต์ที่ไม่เป็นทางการ
- บริการโฮสต์ไฟล์ฟรี
- แพลตฟอร์มการแบ่งปันแบบเพียร์ทูเพียร์ (P2P)
นอกจากนี้ มัลแวร์บางสายพันธุ์ รวมถึงเครื่องมือขั้นสูง เช่น ApolloShadow อาจแพร่กระจายผ่านเครือข่ายท้องถิ่นหรือแพร่กระจายโดยใช้อุปกรณ์จัดเก็บข้อมูลแบบถอดได้ เช่น ไดรฟ์ USB หรือฮาร์ดดิสก์ภายนอก
บทสรุป: ภัยคุกคามจากการจารกรรมที่ร้ายแรง
ApolloShadow ถือเป็นภัยคุกคามทางไซเบอร์ที่ร้ายแรงซึ่งมีแรงจูงใจทางภูมิรัฐศาสตร์ที่แข็งแกร่ง Secret Blizzard ได้สร้างเครื่องมืออันทรงพลังสำหรับการรวบรวมข่าวกรองด้วยการใช้ประโยชน์จากแบรนด์ที่เชื่อถือได้ การโจมตีระดับเครือข่ายที่หลอกลวง และวิธีการเข้าถึงข้อมูลอย่างต่อเนื่อง องค์กรที่ดำเนินงานในหรือใกล้ภูมิภาคที่รัสเซียมีอิทธิพล โดยเฉพาะอย่างยิ่งองค์กรที่ต้องพึ่งพา ISP ในพื้นที่ จำเป็นต้องใช้โปรโตคอลความปลอดภัยที่เข้มงวดยิ่งขึ้นเพื่อป้องกันภัยคุกคามที่พัฒนาอย่างต่อเนื่องนี้
