Шкідливе програмне забезпечення ApolloShadow

ApolloShadow — це складний штам шкідливого програмного забезпечення, що використовується в кампаніях кібершпигунства, що проводяться зловмисником під назвою Secret Blizzard. Ця група, яка, як вважається, є частиною Федеральної служби безпеки Росії (ФСБ), пов'язана з кількома іншими кодовими назвами, включаючи ATG26, Blue Python, Snake, Turla, Uroburos, VENOMOUS BEAR, Waterbug та Wraith. Це шкідливе програмне забезпечення активно використовується в операціях, спрямованих на конфіденційні об'єкти в Москві щонайменше з 2024 року, і є вагомі ознаки того, що ці кампанії розширюватимуться далі.

Індивідуальна загроза: походження та можливості ApolloShadow

ApolloShadow — це спеціально розроблений шкідливий інструмент, призначений для шпигунства. Його розгортання пов'язане з кампаніями, спрямованими на дипломатичні установи та інші цінні організації, зокрема ті, що залежать від російських інтернет- та телекомунікаційних послуг. Шкідливе програмне забезпечення поширюється за допомогою передових методів «злочинець посередині» (AiTM), коли зловмисники перехоплюють зв'язок між жертвою та легітимними службами.

В останніх кампаніях ApolloShadow техніку AiTM було реалізовано на рівні постачальника інтернет-послуг (ISP). Жертв перенаправляли через портал, розроблений для імітації легітимної поведінки Windows. Коли спрацьовував індикатор стану тестового підключення Windows, замість доступу до стандартної сторінки підтвердження користувач отримував доступ до домену, контрольованого зловмисниками. Це перенаправлення призводило до появи запиту, який заохочував користувача встановити шахрайський кореневий сертифікат, часто замаскований під надійні програми безпеки, щоб розпочати ланцюг зараження.

Порушення безпеки: як ApolloShadow скомпрометує пристрої

Встановлення кореневого сертифіката є ключовим моментом, який надає ApolloShadow доступ до системи. Після активації він виконує кілька операцій:

• Збирає інформацію про пристрої та мережу, включаючи IP-адреси.
• Спроби отримати права адміністратора через фальшивий запит контролю облікових записів користувачів (UAC). У спостережуваних випадках інсталятор мав назву «CertificateDB.exe».
• Відображає оманливі спливаючі вікна, які вказують на встановлення сертифікатів.

Після отримання підвищених привілеїв шкідливе програмне забезпечення робить заражений пристрій видимим у локальній мережі. Потім воно намагається послабити захист системи, змінюючи налаштування брандмауера та вмикаючи спільний доступ до файлів. Щоб обійти безпеку браузера:

• Браузери на базі Chromium автоматично довіряють шкідливому сертифікату.
• Однак, Firefox вимагає від шкідливого програмного забезпечення додаткових змін у конфігурації, щоб уникнути виявлення.

ApolloShadow також забезпечує довгостроковий доступ, створюючи постійний обліковий запис адміністративного користувача з назвою «UpdatusUser», який використовує жорстко закодований пароль без терміну дії.

Глибоке проникнення: що дозволяє ApolloShadow

Підозрюється, що ApolloShadow дозволяє здійснювати атаки видалення TLS/SSL. Ці атаки змушують браузери підключатися без безпечного шифрування, що дозволяє шкідливому програмному забезпеченню відстежувати активність перегляду та потенційно збирати конфіденційну інформацію, таку як токени входу та облікові дані.

Прихованість та стійкість шкідливого програмного забезпечення роблять його надзвичайно небезпечним. Його здатність залишатися непоміченим під час збору розвідувальних даних та забезпечення віддаленого доступу підкреслює його цінність у кіберопераціях, що спонсоруються державою.

Інструменти обману: соціальна інженерія та вектори зараження

Кампанії ApolloShadow поєднують технічні маніпуляції із соціальною інженерією. Жертв не лише перенаправляють та маніпулюють за допомогою атак на мережевому рівні, але й надсилають оманливі запити, які спонукають їх встановити шкідливі сертифікати під виглядом надійного програмного забезпечення.

Хоча кампанії ApolloShadow в основному покладаються на перехоплення та соціальну інженерію на рівні інтернет-провайдера, вектори зараження можуть розширюватися завдяки більш традиційним тактикам доставки шкідливого програмного забезпечення.

Поширені методи поширення шкідливого програмного забезпечення :

Оманливі тактики:

• Фішингові повідомлення (електронні листи, особисті повідомлення, публікації в соціальних мережах).
• Шкідливі посилання або вкладення.
• Шахрайські оновлення або інсталятори програмного забезпечення.

Небезпечні джерела завантаження:

• Неофіційні вебсайти.
• Безкоштовні сервіси файлообміну.
• Платформи обміну між користувачами (P2P).

Крім того, деякі штами шкідливих програм, включаючи такі розширені інструменти, як ApolloShadow, можуть поширюватися через локальні мережі або за допомогою знімних пристроїв зберігання даних, таких як USB-накопичувачі або зовнішні жорсткі диски.

Висновок: Серйозна загроза шпигунства

ApolloShadow являє собою серйозну загрозу кібершпигунства з сильними геополітичними мотивами. Використовуючи перевірені бренди, оманливі атаки на рівні мережі та методи постійного доступу, Secret Blizzard створила потужний інструмент для збору розвідувальних даних. Організації, що працюють у регіонах російського впливу або поблизу них, особливо ті, що покладаються на місцевих інтернет-провайдерів, повинні запровадити посилені протоколи безпеки для захисту від цієї загрози, що постійно розвивається.