Microsoft Tehdit İstihbaratı, Moskova’daki yabancı elçilikleri özel Apolloshadow kötü amaçlı bir şekilde dağıtmak için aktif olarak tehlikeye atan Gizli Blizzard olarak izlenen Rus devlet destekli aktör tarafından düzenlenen sofistike bir siber boyama operasyonu ortaya koydu.
En az 2024’ten beri devam eden bu kampanya, mağdur cihazlara güvenilir kök sertifikaları kurmak için İnternet Servis Sağlayıcısı (ISS) düzeyinde bir AITM pozisyonu kullanıyor ve bunları kötü niyetli aktör kontrollü alanların kimlik doğrulamasına yönelik etkili bir şekilde kandırıyor.
Bu, yerel Rus telekomünikasyon altyapısına bağımlı diplomatik varlıklar ve hassas kuruluşlar için ciddi bir tehdit oluşturarak istihbarat toplama için kalıcı erişim sağlar.
Daha önce yerli casusluk için düşük güvenle değerlendirilen bu, Rusya’nın operatif araştırma faaliyetleri (SORM) sistemi tarafından potansiyel olarak kolaylaştırılan ve büyük ölçekli trafik müdahalesi ve manipülasyonuna izin verilen gizli Blizzard’ın ISS seviyesi yeteneklerinin ilk yüksek güven onayını işaret ediyor.
Secret Blizzard’ın Siber Teslim Kampanyası
Operasyonun ilk erişimi, cihazları DNS manipülasyonu yoluyla aktör kontrollü alanlara yönlendirerek esir portalları kullanır.
Bir Windows aygıtı, http://www.msftconnecttest.com/redirect’i sorgulayarak test bağlantı durumu göstergesini başlattığında, Secret Blizzard isteği keser ve kullanıcıları meşru bir taksit olarak gizlenmiş Apolloshadow’u indirmesini ve yürütmesini sağlayan bir sertifika doğrulama hatası sunar.
Yürütme üzerine, kötü amaçlı yazılım, işlem jetonunun yükseklik türünü GetTokenInformation gibi API’ler kullanarak değerlendirir.
Tam yüksekliğe sahip değilse (TokenelevationTypull), GetipAddrtable, bunları iki kez kodlayan ve ‘ve’ T ” ve ‘T’ gibi parametrelerle bir GET isteği yoluyla GetipAddrtable, baz64-kodlama yoluyla konakçı IP ayrıntılarını toplayan düşük pratik bir yol izler.
AITM kurulumu, CreateProcessw kullanarak geçici dizinde kod çözülmüş ve kodlanmış bir VBScript yükü sunmak için bunu yeniden yönlendirir ve ardından bir kullanıcı erişim kontrolü (UAC) yükseltme istemini tetiklemek için bir Shellexecutea çağrısı yapılır.
Apolloshadow’un kalıcılık mekanizmaları
Yükseltilmiş modda, Apolloshadow, \ microsoft \ windows nt \ currentersion \ ağ listesi \ profilleri altındaki kayıt defteri düzenlemeleri aracılığıyla, kategori değerlerini 0 olarak ayarlayarak efekt için yeniden başlatma gerektiren daha kolay yanal hareket için ağ profillerini ‘özel’ durum olarak değiştirir.
Aynı zamanda, ağ keşfi (firewallapi.dll, -32752) ve dosya ve yazıcı paylaşımı (firewallapi.dll, -28502) için güvenlik duvarı kurallarını etkinleştirmek için bileşen nesne modeli (COM) nesneleri kullanır.
Kötü amaçlı yazılım, certutil.exe komutları aracılığıyla iki kök sertifikası yüklerken aldatıcı bir kurulum penceresi görüntüler ve bunları geçici .CRT dosyalarından %Temp %olarak kurumsal kök ve CA depolarına ekler.
Bağımsız sertifika mağazalarını koruyan Firefox ile uyumluluğu sağlamak için Apolloshadow, fanker.js tercih dosyasını tarayıcının dizinine yazar ve güvenlik.enterprise_roots.entled OS seviyesi sertifikalarına güvenmeyi etkinleştirir.
Dağıtımını doruk alan Apolloshadow, tespitten kaçınmak için Kaspersky anti-virüs bileşenleri olarak netUSeradd, maskeram öğeleri kullanılarak sabit kodlu, var olmayan bir şifre ile UpdateSuser adlı kalıcı bir yerel yönetici hesabı oluşturur.
Bu kurulum, TLS/SSL sıyırma işlemini kolaylaştırır, Doğu Avrupa hedeflerine karşı truva flaş montajcılarını içeren önceki gizli Blizzard kampanyalarına benzeyen kimlik bilgisi hasat ve jeton müdahalesi için net metinde trafiği açığa çıkarır.
CISA tarafından Rusya’nın Federal Güvenlik Servisi’ne (Center 16) atfedilen ve Venomous Bear, Turla ve Yılan gibi taktiklerle örtüşen aktörün taktikleri, sağlam savunma ihtiyacının altını çiziyor.
Microsoft, anormal sertifika kurulumları ve UAC istemleri gibi göstergelerin izlenmesinin yanı sıra, şifreli VPN tünelleri aracılığıyla trafiğin güvenilir harici ağlara yönlendirilmesini veya Rus etkisi dışında uydu tabanlı sağlayıcıların benimsenmesini önerir.
Microsoft’un rehberliğinde detaylandırılan bu önlemler, diğer satıcılar tarafından izlenen operasyonlarda benzer teknikler ortaya çıktığı için küresel olarak AITM tehditlerine karşı esnekliği artırıyor.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!