Olarak bilinen Rus ulus-devlet tehdit oyuncusu Gizli kar fırtınası İnternet Servis Sağlayıcısı (ISS) düzeyinde ortada bir düşman (AITM) saldırısı ve Apolloshadow olarak adlandırılan özel bir kötü amaçlı yazılım sunarak Moskova’da bulunan yabancı elçilikleri hedefleyen yeni bir siber casusluk kampanyasının düzenlendiği gözlemlenmiştir.
Microsoft Tehdit İstihbarat ekibi, bilgisayar korsanları ile paylaşılan bir raporda, “Apolloshadow, cihazları kötü niyetli aktör kontrollü sitelere güvenmek için güvenilir bir kök sertifikası yükleme yeteneğine sahiptir, Gizli Blizzard’ın diplomatik cihazlara devam etmesini sağlayan, muhtemelen istihbarat toplama için muhtemeldir.”
Etkinliğin en az 2024’ten beri devam ettiği değerlendiriliyor ve kampanya, Rusya’daki yerel ISS veya telekomünikasyon hizmetlerine güvenen diplomatik personel için bir güvenlik riski oluşturuyor.
Rus Federal Güvenlik Servisi’ne bağlı olan gizli Blizzard (eski adıyla Krypton), Mavi Python, Demir Avcı, Dalgalı Ursa, Yılan, Zirve, Uroburos, Turla, Zehirli Ayı ve Su Kapaları altında daha geniş siber güvenlik topluluğu tarafından izlenir.
Aralık 2024’te Microsoft ve Lumen Technologies Black Lotus Labs, Hacking Group’un Pakistan merkezli bir tehdit oyuncusu komuta ve kontrol (C2) altyapısını bulutun ilişkilendirme çabalarını bulmanın bir yolu olarak yürütmek için kullanımını açıkladı.
Düşman ayrıca, Kazuar arka kapısını Ukrayna’da bulunan hedef cihazlara teslim etmek için diğer tehdit aktörleriyle ilişkili kötü amaçlı yazılımlarda piggybacking gözlemlenmiştir.
Windows üreticisi, AITM pozisyonunun yasal kesişme ile kolaylaştırıldığını ve sisteme yüksek erişim elde etmek için Kaspersky antivirüs kisvesi altında kök sertifikalarının kurulmasını içerdiğini belirtti.
İlk erişim, hedef cihazları, esir bir portalın arkasına koyarak aktör kontrollü altyapıyı tehdit etmek için yeniden yönlendirerek, Apolloshadow kötü amaçlı yazılımların indirilmesine ve yürütülmesine yol açarak elde edilir.
“Esir bir portalın arkasında bir kez, Windows Testi Bağlantı Durumu Göstergesi başlatılır – bir cihazın HXXP: //www.msftconnectTest’e bir HTTP GET isteği göndererek internet erişimine sahip olup olmadığını belirleyen meşru bir hizmet[.]MSN’ye yönlendirmesi gereken com/yönlendirme[.]com, “dedi Microsoft.
“Sistem tarayıcı penceresini bu adrese açtığında, sistem, hedefin Apolloshadow’u indirmesini ve yürütmesini isteyen bir sertifika doğrulama hatası görüntüleyen ayrı bir aktör kontrollü alana yönlendirilir.”
Daha sonra Beacons, C2 sunucusuna bilgileri barındırır ve cihaz varsayılan yönetim ayarlarında çalışmıyorsa CertificatedB.exe adlı bir ikili çalıştırır ve ikinci aşamalı bir yük olarak bilinmeyen bir görsel temel komut dosyası olarak alır.
Son adımda, Apolloshadow işlemi kendini tekrar başlatır ve kullanıcıya bir kullanıcı erişim kontrolü (UAC) açılır penceresi sunar ve onlara kullanıcı için mevcut en yüksek ayrıcalıkları vermelerini söyler.
ApolloshAdow’un yürütme yolu, çalıştırma işlemi zaten yeterli yükseltilmiş ayrıcalıklarla çalışıyorsa, tüm ağları kayıt defteri profili değişiklikleri aracılığıyla özel olarak ayarlamak ve kullanıcı adı UpdatatUSUSER ve sabit kodlu bir şifre ile bir yönetim kullanıcısı oluşturuyorsa, makineye kalıcı erişim sağlayarak değişir.
Şirket, “Bu, ana cihazın keşfedilebilir olmasına izin vermek ve dosya paylaşımını etkinleştirmek için rahatlatıcı güvenlik duvarı kuralları da dahil olmak üzere birkaç değişikliğe neden oluyor.” Dedi. Diyerek şöyle devam etti: “Yanal hareket için herhangi bir doğrudan girişim görmesek de, bu modifikasyonların ana nedeni, ağdaki yanal hareketin zorluğunu azaltması muhtemeldir.”
Bu adım başarıyla tamamlandıktan sonra, mağdurlar dijital sertifikaların konuşlandırılmasının devam ettiğini gösteren bir pencere görüntülenir ve bu da Certutil yardımcı programı kullanılarak makineye iki kök sertifikasının kurulmasına neden olur. Ayrıca, Mozilla Firefox’un kök sertifikalarına güvenmesini sağlayan “wincert.js” adlı bir dosya da var.
Gizli Blizzard etkinliğine karşı savunmak için, Moskova’da faaliyet gösteren diplomatik varlıklar, en az ayrıcalık (POLP) ilkesini uygulamaya, ayrıcalıklı grupları periyodik olarak gözden geçirmeye ve tüm trafiği şifreli bir tünelden güvenilir bir ağa yönlendirmeye veya bir Sanal Özel Ağ (VPN) servis sağlayıcısını kullanmaya istenir.