Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Kötü amaçlı yazılım ApolloShadow Kötü Amaçlı Yazılım

ApolloShadow Kötü Amaçlı Yazılım

Mezo'de Kötü amaçlı yazılım'de
Çevir:

ApolloShadow, Secret Blizzard adlı bir tehdit aktörü tarafından yürütülen siber casusluk kampanyalarında kullanılan gelişmiş bir kötü amaçlı yazılım türüdür. Rusya Federal Güvenlik Servisi'nin (FSB) bir parçası olduğuna inanılan bu grup, ATG26, Blue Python, Snake, Turla, Uroburos, VENOMOUS BEAR, Waterbug ve Wraith gibi çeşitli kod adlarıyla da ilişkilendirilmektedir. Kötü amaçlı yazılım, en az 2024'ten beri Moskova'daki hassas kuruluşları hedef alan operasyonlarda aktif olarak kullanılmakta olup, bu kampanyaların daha da genişleyeceğine dair güçlü belirtiler bulunmaktadır.

Özelleştirilmiş Bir Tehdit: ApolloShadow’un Kökeni ve Yetenekleri

ApolloShadow, casusluk için özel olarak tasarlanmış kötü amaçlı bir araçtır. Dağıtımı, diplomatik kurumları ve özellikle Rus internet ve telekomünikasyon hizmetlerine güvenen diğer yüksek değerli kuruluşları hedef alan kampanyalarla bağlantılıdır. Kötü amaçlı yazılım, saldırganların kurban ile meşru hizmetler arasındaki iletişimi engellediği gelişmiş ortadaki düşman (AiTM) teknikleri kullanılarak yayılır.

ApolloShadow'un son saldırılarında, AiTM tekniği İnternet Servis Sağlayıcısı (İSS) düzeyinde uygulandı. Mağdurlar, meşru Windows davranışını taklit etmek üzere tasarlanmış bir esir portal üzerinden yönlendirildi. Windows Test Bağlantı Durumu Göstergesi tetiklendiğinde, kullanıcı standart bir doğrulama sayfasına erişmek yerine, saldırganların kontrolündeki bir etki alanına yönlendirildi. Bu yönlendirme, kullanıcıyı enfeksiyon zincirini başlatmak için genellikle saygın güvenlik programları kisvesi altında sahte bir kök sertifika yüklemeye teşvik eden bir uyarıya yol açtı.

Güvenliği Kırmak: ApolloShadow Cihazları Nasıl Tehlikeye Atıyor?

Kök sertifikasının kurulumu, ApolloShadow'a sisteme erişim izni veren en önemli andır. Etkinleştirildikten sonra birkaç işlem gerçekleştirir:

  • IP adresleri de dahil olmak üzere cihaz ve ağ bilgilerini toplar.
  • Sahte bir Kullanıcı Hesabı Denetimi (UAC) istemi aracılığıyla yönetici ayrıcalıkları elde etme girişimleri. Gözlemlenen vakalarda, yükleyicinin adı 'CertificateDB.exe' idi.
  • Sertifikaların yüklendiğini gösteren aldatıcı açılır pencereler görüntüler.

Kötü amaçlı yazılım, ayrıcalıkları yükselttikten sonra, enfekte cihazı yerel ağda keşfedilebilir hale getirir. Ardından, güvenlik duvarı ayarlarını değiştirerek ve dosya paylaşımını etkinleştirerek sistemin savunmasını zayıflatmaya çalışır. Tarayıcı güvenliğini aşmak için:

  • Chromium tabanlı tarayıcılar kötü amaçlı sertifikaya otomatik olarak güvenir.
  • Ancak Firefox'un kötü amaçlı yazılımın tespitinden kaçınmak için ek yapılandırma değişiklikleri yapması gerekiyor.

ApolloShadow ayrıca, sabit kodlanmış, süresi dolmayan bir parola kullanan 'UpdatusUser' adlı kalıcı bir yönetici kullanıcı hesabı oluşturarak uzun vadeli erişimi de garanti altına alır.

Derin Sızma: ApolloShadow’un Sağladığı Olanaklar

ApolloShadow'un TLS/SSL şifreleme saldırılarını etkinleştirdiğinden şüpheleniliyor. Bu saldırılar, tarayıcıları güvenli şifreleme olmadan bağlanmaya zorlayarak kötü amaçlı yazılımın tarama etkinliğini izlemesine ve oturum açma belirteçleri ve kimlik bilgileri gibi hassas bilgileri toplamasına olanak tanıyor.

Kötü amaçlı yazılımın gizliliği ve kalıcılığı onu son derece tehlikeli kılıyor. İstihbarat toplarken ve uzaktan erişim sağlarken tespit edilememe yeteneği, devlet destekli siber operasyonlardaki değerini vurguluyor.

Aldatma Araçları: Sosyal Mühendislik ve Enfeksiyon Vektörleri

ApolloShadow kampanyaları, teknik manipülasyonu sosyal mühendislikle birleştiriyor. Mağdurlar, ağ düzeyindeki saldırılarla yönlendirilip manipüle edilmekle kalmıyor, aynı zamanda güvenilir yazılım kisvesi altında kötü amaçlı sertifikalar yüklemeleri için onları teşvik eden aldatıcı uyarılarla da hedef alınıyor.

ApolloShadow kampanyaları öncelikli olarak İSS düzeyinde müdahale ve sosyal mühendisliğe dayanırken, enfeksiyon vektörleri daha geleneksel kötü amaçlı yazılım dağıtım taktikleri yoluyla genişleyebilir.

Yaygın Kötü Amaçlı Yazılım Dağıtım Yöntemleri :

Aldatıcı Taktikler:

  • Oltalama mesajları (e-postalar, özel mesajlar, sosyal medya paylaşımları).
  • Kötü amaçlı bağlantılar veya ekler.
  • Sahte yazılım güncellemeleri veya yükleyicileri.

Güvenli Olmayan İndirme Kaynakları:

  • Resmi olmayan web siteleri.
  • Ücretsiz dosya barındırma hizmetleri.
  • Eşler Arası (P2P) paylaşım platformları.

Ayrıca, ApolloShadow gibi gelişmiş araçlar da dahil olmak üzere bazı kötü amaçlı yazılım türleri, yerel ağlar üzerinden yayılabilir veya USB sürücüler veya harici sabit diskler gibi çıkarılabilir depolama aygıtlarını kullanarak yayılabilir.

Sonuç: Ciddi Bir Casusluk Tehdidi

ApolloShadow, güçlü jeopolitik motivasyonlara sahip ciddi bir siber casusluk tehdidini temsil ediyor. Secret Blizzard, güvenilir markaları, aldatıcı ağ düzeyinde saldırıları ve sürekli erişim yöntemlerini kullanarak istihbarat toplamak için güçlü bir araç geliştirdi. Rus nüfuzu altındaki bölgelerde veya yakınında faaliyet gösteren kuruluşlar, özellikle yerel İSS'lere güvenenler, bu gelişen tehdide karşı savunmak için daha yüksek güvenlik protokolleri benimsemelidir.

trend

DHL Express - Hatalı Fatura Bilgileri E-posta...

Kimlik avı, İstenmeyen e-posta
Siber suçlular, şüphelenmeyen kişileri hedef almak için e-posta tabanlı aldatmacalara başvurmaya devam ediyor. Yaygınlaşan bu taktiklerden biri, hassas verileri çalmak ve alıcıları sahte ödemelere yönlendirmek için tasarlanmış bir kimlik avı kampanyası olan "DHL Express - Yanlış Fatura Bilgileri" dolandırıcılığıdır. Bu e-postalar ilk bakışta güvenilir görünebilir, ancak hiçbir şekilde yasal DHL...

En çok görüntülenen

Yükleniyor...