ApolloShadow恶意软件
ApolloShadow 是一款复杂的恶意软件,由名为 Secret Blizzard 的威胁行为者部署于网络间谍活动中。该组织据信隶属于俄罗斯联邦安全局 (FSB),并与其他多个代号相关联,包括 ATG26、Blue Python、Snake、Turla、Uroburos、VENOMOUS BEAR、Waterbug 和 Wraith。自 2024 年以来,该恶意软件就一直活跃于针对莫斯科敏感实体的行动中,有强烈迹象表明,这些活动将进一步扩大。
目录
定制威胁:ApolloShadow 的起源和能力
ApolloShadow 是一款专为间谍活动而设计的恶意工具。其部署与针对外交机构和其他高价值组织的攻击活动有关,尤其是那些依赖俄罗斯互联网和电信服务的组织。该恶意软件使用先进的中间人攻击 (AiTM) 技术进行传播,攻击者可以拦截受害者与合法服务之间的通信。
在 ApolloShadow 的最新攻击活动中,AiTM 技术是在互联网服务提供商 (ISP) 层面实施的。受害者被重定向到一个旨在模仿合法 Windows 行为的强制门户网站。当 Windows 测试连接状态指示器被触发时,用户不会访问标准验证页面,而是被重定向到一个由攻击者控制的域名。这种重定向会导致出现一个提示,鼓励用户安装一个欺诈性根证书(通常伪装成信誉良好的安全程序),从而启动感染链。
安全漏洞:ApolloShadow 如何入侵设备
根证书的安装是授予 ApolloShadow 系统访问权限的关键时刻。一旦激活,它将执行以下几项操作:
- 收集设备和网络信息,包括 IP 地址。
- 尝试通过伪造的用户帐户控制 (UAC) 提示获取管理员权限。在观察到的案例中,安装程序名为“CertificateDB.exe”。
- 显示欺骗性弹出窗口,表明正在安装证书。
恶意软件获得提升的权限后,会使受感染的设备在本地网络上被发现。然后,它会尝试通过修改防火墙设置和启用文件共享来削弱系统的防御能力。绕过浏览器安全防护的方法如下:
- 基于 Chromium 的浏览器会自动信任恶意证书。
- 然而,Firefox 需要恶意软件进行额外的配置更改才能避免被检测到。
ApolloShadow 还通过创建名为“UpdatusUser”的持久管理用户帐户来确保长期访问,该帐户使用硬编码的、永不过期的密码。
深度渗透:ApolloShadow 有何用途
ApolloShadow 疑似可启用 TLS/SSL 剥离攻击。这些攻击会强制浏览器在未进行安全加密的情况下进行连接,从而使恶意软件能够监视浏览活动,并可能窃取登录令牌和凭据等敏感信息。
该恶意软件的隐秘性和持久性使其极其危险。它能够在不被发现的情况下收集情报并提供远程访问,这凸显了其在国家支持的网络行动中的价值。
欺骗工具:社会工程学和感染媒介
ApolloShadow 活动将技术操纵与社会工程学相结合。受害者不仅会通过网络级攻击进行重定向和操纵,还会被诱骗性提示所针对,这些提示会诱使他们以受信任软件的名义安装恶意证书。
虽然 ApolloShadow 活动主要依赖于 ISP 级别的拦截和社会工程,但感染媒介可能会通过更传统的恶意软件传递策略进行扩展。
常见的恶意软件传播方法:
欺骗手段:
- 网络钓鱼信息(电子邮件、私人消息、社交媒体帖子)。
- 恶意链接或附件。
- 欺诈性软件更新或安装程序。
不安全的下载源:
- 非官方网站。
- 免费文件托管服务。
- 点对点(P2P)共享平台。
此外,一些恶意软件,包括 ApolloShadow 等高级工具,可能会通过本地网络传播或使用可移动存储设备(如 USB 驱动器或外部硬盘)传播。
结论:严重的间谍威胁
ApolloShadow 代表着一种严重的网络间谍威胁,其背后有着强烈的地缘政治动机。Secret Blizzard 利用值得信赖的品牌、欺骗性的网络级攻击和持久的访问方法,构建了一个强大的情报收集工具。在俄罗斯势力范围内或附近运营的组织,尤其是依赖本地 ISP 的组织,必须采用更严格的安全协议来防御这种不断演变的威胁。
