Moskova’daki yabancı elçilikleri hedefleyen sofistike bir siberlik kampanyası ortaya çıktı ve dijital güven mekanizmalarını manipüle etmek için tasarlanmış özel bir kötü amaçlı yazılım suşunun konuşlandırılmasını ortaya koydu.
Rus devlet destekli tehdit grubu Secret Blizzard, en az 2024’ten beri ortada bir düşman operasyonunu düzenliyor ve Apolloshadow kötü amaçlı yazılımları diplomatik kuruluşlara yönlendirmek için İnternet servis sağlayıcısı altyapısında pozisyonlarını kullanıyor.
Kampanya, özellikle Rus sınırları içindeki internet altyapısından yararlanmasında devlet destekli siber operasyonlarda önemli bir artışı temsil ediyor.
.webp)
Zehirli ayı, uroburos, yılan ve Turla olarak bilinen tehdit aktörleriyle örtüşen gizli Blizzard, ISS düzeyinde büyük ölçekli müdahale operasyonları gerçekleştirme yeteneğini gösterdi.
Bu konumlandırma, grubun hedef cihazları esir portallar aracılığıyla yeniden yönlendirmesini sağlar ve kötü amaçlı yazılım dağıtım için kontrollü bir ortam oluşturur.
Apolloshadow’un birincil işlevi, cihazların kötü niyetli aktör kontrollü sitelere güvenmesini sağlayan güvenilir kök sertifikaları kurmaya odaklanır.
Kötü amaçlı yazılım, CertificatedB.exe adlı bir dosya aracılığıyla Kaspersky anti-virüs yükleyicisi olarak maskelenir ve meşru güvenlik yazılımına kullanıcı güvenini kullanır.
Microsoft analistleri, bu aldatıcı yaklaşımı, diplomatik iletişim ve zekaya uzun vadeli erişimi sürdürmek için tasarlanan grubun kalıcılık stratejisinin kritik bir bileşeni olarak tanımladılar.
Teknik enfeksiyon mekanizması ve sertifika manipülasyonu
Kötü amaçlı yazılım, Windows API’si GettokenFormationType aracılığıyla tespit edilen ayrıcalık seviyelerine dayalı sofistike bir çift yürütme yolu kullanır.
.webp)
Yüksek ayrıcalıklarla çalışırken Apolloshadow, Windows CerTutil yardımcı programını kullanarak sertifika yükleme komutlarını yürütür.
Kötü amaçlı yazılım iki özel komutu dağıtır:-
certutil.exe -f -Enterprise -addstore root "C:\Users\\AppData\Local\Temp\crt3C5C.tmp"
certutil.exe -f -Enterprise -addstore ca "C:\Users\\AppData\Local\Temp\crt53FF.tmp"Bu komutlar, kötü amaçlı sertifikaları hem kök hem de sertifika otoritesi mağazalarına yükleyerek cihazın meşru ve saldırgan kontrollü web siteleri arasında ayrım yapma yeteneğini etkili bir şekilde tehlikeye atar.
Kötü amaçlı yazılım, tercih değişikliğini içeren bir wincert.js dosyası oluşturarak Firefox tarayıcı tercihlerini daha da değiştirir pref("security.enterprise_roots.enabled", true); Firefox’un yeni kurulan sertifikalara güvenmesini sağlamak için.
Kalıcılığı korumak için Apolloshadow, asla süresi yok olmayan sert kodlanmış bir şifreye sahip “UpdatUSUSER” adlı bir yönetici kullanıcı hesabı oluşturur.
Kötü amaçlı yazılım ayrıca, tüm bağlantıları özel ağlar olarak ayarlamak için ağ profillerini değiştirir, güvenlik duvarı kurallarını rahatlatır ve tehlikeye atılan ortamlarda yanal hareketi kolaylaştırabilecek dosya paylaşım özelliklerini etkinleştirir.
Kampanya, Moskova’da faaliyet gösteren diplomatik varlıklar için, özellikle de yerel telekomünikasyon altyapısına güvenenler için önemli riskler oluşturmaktadır.
Kuruluşlara, güvenilir ağlara şifreli tüneller aracılığıyla tüm trafiği yönlendirmeleri veya altyapısı potansiyel düşman kontrolünün dışında kalan uydu tabanlı bağlantı sağlayıcılarını kullanmaları tavsiye edilir.
Entegre etmek Herhangi biri. Gelişmiş tehditleri analiz etmek için siem veya soar ile -> 50 ücretsiz deneme aramasını deneyin