Phần mềm độc hại ApolloShadow

ApolloShadow là một biến thể phần mềm độc hại tinh vi được triển khai trong các chiến dịch gián điệp mạng do một nhóm tin tặc có tên Secret Blizzard thực hiện. Nhóm này, được cho là thuộc Cơ quan An ninh Liên bang Nga (FSB), có liên quan đến một số tên mã khác, bao gồm ATG26, Blue Python, Snake, Turla, Uroburos, VENOMOUS BEAR, Waterbug và Wraith. Phần mềm độc hại này đã được sử dụng tích cực trong các hoạt động nhắm vào các thực thể nhạy cảm tại Moscow kể từ ít nhất năm 2024, với nhiều dấu hiệu rõ ràng cho thấy các chiến dịch này sẽ còn mở rộng hơn nữa.

Mối đe dọa tùy chỉnh: Nguồn gốc và khả năng của ApolloShadow

ApolloShadow là một công cụ độc hại được thiết kế riêng cho hoạt động gián điệp. Việc triển khai nó liên quan đến các chiến dịch nhắm vào các tổ chức ngoại giao và các tổ chức có giá trị cao khác, đặc biệt là những tổ chức dựa vào dịch vụ Internet và viễn thông của Nga. Phần mềm độc hại này được phát tán bằng các kỹ thuật tấn công trung gian tiên tiến (AiTM), trong đó kẻ tấn công chặn liên lạc giữa nạn nhân và các dịch vụ hợp pháp.

Trong các chiến dịch gần đây nhất của ApolloShadow, kỹ thuật AiTM đã được triển khai ở cấp độ Nhà cung cấp dịch vụ Internet (ISP). Nạn nhân bị chuyển hướng qua một cổng bị khóa được thiết kế để mô phỏng hành vi hợp lệ của Windows. Khi Chỉ báo Trạng thái Kết nối Kiểm tra Windows được kích hoạt, thay vì truy cập trang xác minh tiêu chuẩn, người dùng lại bị chuyển đến một miền do kẻ tấn công kiểm soát. Việc chuyển hướng này dẫn đến một lời nhắc khuyến khích người dùng cài đặt chứng chỉ gốc giả mạo, thường được ngụy trang thành các chương trình bảo mật uy tín, để bắt đầu chuỗi lây nhiễm.

Phá vỡ bảo mật: ApolloShadow xâm phạm thiết bị như thế nào

Việc cài đặt chứng chỉ gốc là bước quan trọng cấp quyền truy cập hệ thống cho ApolloShadow. Sau khi kích hoạt, chứng chỉ gốc sẽ thực hiện một số thao tác sau:

• Thu thập thông tin thiết bị và mạng, bao gồm cả địa chỉ IP.
• Cố gắng chiếm quyền quản trị thông qua lời nhắc Kiểm soát Tài khoản Người dùng (UAC) giả mạo. Trong các trường hợp quan sát được, trình cài đặt được đặt tên là 'CertificateDB.exe'.
• Hiển thị cửa sổ bật lên lừa đảo cho biết chứng chỉ đang được cài đặt.

Sau khi chiếm được quyền cao hơn, phần mềm độc hại sẽ khiến thiết bị bị nhiễm có thể bị phát hiện trên mạng cục bộ. Sau đó, nó cố gắng làm suy yếu hệ thống phòng thủ bằng cách thay đổi cài đặt tường lửa và cho phép chia sẻ tệp. Để vượt qua bảo mật trình duyệt:

• Trình duyệt dựa trên Chromium tự động tin cậy chứng chỉ độc hại.
• Tuy nhiên, Firefox yêu cầu phần mềm độc hại phải thay đổi cấu hình bổ sung để tránh bị phát hiện.

ApolloShadow cũng đảm bảo quyền truy cập lâu dài bằng cách tạo một tài khoản người dùng quản trị cố định có tên là 'UpdatusUser', sử dụng mật khẩu được mã hóa cứng và không hết hạn.

Xâm nhập sâu: ApolloShadow cho phép điều gì

ApolloShadow bị nghi ngờ kích hoạt các cuộc tấn công tước quyền TLS/SSL. Các cuộc tấn công này buộc trình duyệt phải kết nối mà không có mã hóa bảo mật, cho phép phần mềm độc hại theo dõi hoạt động duyệt web và có khả năng thu thập thông tin nhạy cảm như mã thông báo đăng nhập và thông tin đăng nhập.

Tính ẩn mình và dai dẳng của phần mềm độc hại khiến nó cực kỳ nguy hiểm. Khả năng không bị phát hiện trong khi thu thập thông tin tình báo và cung cấp quyền truy cập từ xa càng khẳng định giá trị của nó trong các hoạt động mạng do nhà nước bảo trợ.

Công cụ lừa dối: Kỹ thuật xã hội và các vectơ lây nhiễm

Các chiến dịch ApolloShadow kết hợp thao túng kỹ thuật với kỹ thuật xã hội. Nạn nhân không chỉ bị chuyển hướng và thao túng thông qua các cuộc tấn công cấp độ mạng mà còn bị nhắm mục tiêu bằng các lời nhắc lừa đảo, thúc giục họ cài đặt chứng chỉ độc hại dưới vỏ bọc phần mềm đáng tin cậy.

Trong khi các chiến dịch ApolloShadow chủ yếu dựa vào khả năng chặn ở cấp độ ISP và kỹ thuật xã hội, các vectơ lây nhiễm có thể mở rộng thông qua các chiến thuật phát tán phần mềm độc hại thông thường hơn.

Các phương pháp phân phối phần mềm độc hại phổ biến :

Chiến thuật lừa đảo:

• Tin nhắn lừa đảo (email, tin nhắn riêng tư, bài đăng trên mạng xã hội).
• Liên kết hoặc tệp đính kèm độc hại.
• Bản cập nhật hoặc trình cài đặt phần mềm gian lận.

Nguồn tải xuống không an toàn:

• Các trang web không chính thức.
• Dịch vụ lưu trữ tệp miễn phí.
• Nền tảng chia sẻ ngang hàng (P2P).

Ngoài ra, một số loại phần mềm độc hại, bao gồm các công cụ tiên tiến như ApolloShadow, có thể lây lan qua mạng cục bộ hoặc phát tán bằng các thiết bị lưu trữ di động như ổ USB hoặc ổ cứng ngoài.

Kết luận: Một mối đe dọa gián điệp nghiêm trọng

ApolloShadow là một mối đe dọa gián điệp mạng nghiêm trọng với động cơ địa chính trị mạnh mẽ. Bằng cách tận dụng các thương hiệu uy tín, các cuộc tấn công mạng lừa đảo và các phương thức truy cập liên tục, Secret Blizzard đã xây dựng một công cụ thu thập thông tin tình báo mạnh mẽ. Các tổ chức hoạt động trong hoặc gần các khu vực chịu ảnh hưởng của Nga, đặc biệt là những tổ chức phụ thuộc vào các nhà cung cấp dịch vụ Internet (ISP) địa phương, cần áp dụng các giao thức bảo mật nâng cao để phòng thủ trước mối đe dọa ngày càng gia tăng này.