ApolloShadow惡意軟體
ApolloShadow 是一款複雜的惡意軟體,由名為 Secret Blizzard 的威脅行為者部署於網路間諜活動。該組織據信隸屬於俄羅斯聯邦安全局 (FSB),並與其他多個代號相關聯,包括 ATG26、Blue Python、Snake、Turla、Uroburos、VENOMOUS BEAR、Waterbug 和 Wraith。自 2024 年以來,該惡意軟體就一直活躍於針對莫斯科敏感實體的行動中,有強烈跡象表明,這些活動將進一步擴大。
目錄
自訂威脅:ApolloShadow 的起源與能力
ApolloShadow 是專為間諜活動而設計的惡意工具。其部署與針對外交機構和其他高價值組織的攻擊活動有關,尤其是那些依賴俄羅斯互聯網和電信服務的組織。該惡意軟體使用先進的中間人攻擊 (AiTM) 技術進行傳播,攻擊者可以攔截受害者與合法服務之間的通訊。
在 ApolloShadow 的最新攻擊活動中,AiTM 技術是在網路服務供應商 (ISP) 層級實施的。受害者被重新導向到一個旨在模仿合法 Windows 行為的強制入口網站。當 Windows 測試連線狀態指示器觸發時,使用者不會造訪標準驗證頁面,而是被重定向到一個由攻擊者控制的網域。這種重定向會導致出現一個提示,鼓勵使用者安裝一個詐騙根憑證(通常偽裝成信譽良好的安全程式),從而啟動感染鏈。
安全漏洞:ApolloShadow 如何入侵設備
根憑證的安裝是授予 ApolloShadow 系統存取權限的關鍵時刻。一旦激活,它將執行以下幾項操作:
- 收集設備和網路信息,包括 IP 位址。
- 嘗試透過偽造的使用者帳戶控制 (UAC) 提示取得管理員權限。在觀察到的案例中,安裝程式名為「CertificateDB.exe」。
- 顯示欺騙性彈出窗口,表示正在安裝憑證。
惡意軟體獲得提升的權限後,會使受感染的裝置在本地網路上被發現。然後,它會嘗試透過修改防火牆設定和啟用檔案共用來削弱系統的防禦能力。繞過瀏覽器安全防護的方法如下:
- 基於 Chromium 的瀏覽器會自動信任惡意憑證。
- 然而,Firefox 需要惡意軟體進行額外的設定變更才能避免被偵測到。
ApolloShadow 還透過建立名為「UpdatusUser」的持久管理使用者帳戶來確保長期訪問,該帳戶使用硬編碼的、永不過期的密碼。
深度滲透:ApolloShadow 有何用途
ApolloShadow 疑似可啟用 TLS/SSL 剝離攻擊。這些攻擊會強制瀏覽器在未進行安全加密的情況下進行連接,從而使惡意軟體能夠監視瀏覽活動,並可能竊取登入令牌和憑證等敏感資訊。
該惡意軟體的隱密性和持久性使其極其危險。它能夠在不被發現的情況下收集情報並提供遠端訪問,這凸顯了其在國家支持的網路行動中的價值。
欺騙工具:社會工程學與感染媒介
ApolloShadow 活動將技術操縱與社會工程學相結合。受害者不僅會透過網路層級攻擊進行重定向和操縱,還會被誘騙性提示所針對,這些提示會誘使他們以受信任軟體的名義安裝惡意憑證。
雖然 ApolloShadow 活動主要依賴 ISP 層級的攔截和社會工程,但感染媒介可能會透過更傳統的惡意軟體傳遞策略進行擴展。
常見的惡意軟體傳播方法:
欺騙手段:
- 網路釣魚資訊(電子郵件、私人訊息、社群媒體貼文)。
- 惡意連結或附件。
- 欺詐性軟體更新或安裝程式。
不安全的下載來源:
- 非官方網站。
- 免費文件託管服務。
- 點對點(P2P)共享平台。
此外,一些惡意軟體,包括 ApolloShadow 等進階工具,可能會透過本地網路傳播或使用可移動儲存裝置(如 USB 磁碟機或外部硬碟)傳播。
結論:嚴重的間諜威脅
ApolloShadow 代表著嚴重的網路間諜威脅,背後有著強烈的地緣政治動機。 Secret Blizzard 利用值得信賴的品牌、欺騙性的網路層級攻擊和持久的存取方法,建立了一個強大的情報收集工具。在俄羅斯勢力範圍內或附近運作的組織,尤其是依賴本地 ISP 的組織,必須採用更嚴格的安全協議來防禦這種不斷演變的威脅。
