De Russische natiestaatbedreigingsacteur bekend als Geheime Blizzard is waargenomen het orkestreren van een nieuwe cyberspionagecampagne gericht op buitenlandse ambassades in Moskou door middel van een tegenstander-in-the-midden (AITM) -aanval op de Internet Service Provider (ISP) -niveau en het leveren van een aangepaste malware genaamd Apolloshadow.
“Apolloshadow heeft de mogelijkheid om een vertrouwd rootcertificaat te installeren om apparaten te bedriegen om kwaadaardige acteur-gecontroleerde sites te vertrouwen, waardoor Secret Blizzard de doorzettingsvermogen op diplomatieke apparaten kan behouden, waarschijnlijk voor het verzamelen van intelligentie,” zei het Microsoft Threat Intelligence-team in een rapport dat wordt gedeeld met het hacker-nieuws.
De activiteit wordt sinds minstens 2024 aan de gang, waarbij de campagne een beveiligingsrisico vormt voor diplomatiek personeel dat afhankelijk is van lokale ISP’s of telecommunicatiediensten in Rusland.
Secret Blizzard (voorheen Krypton), aangesloten bij de Russische Federal Security Service, wordt ook gevolgd door de bredere cybersecurity -gemeenschap onder de monikers Blue Python, Iron Hunter, Pealy Ursa, Snake, Summit, Uroburos, Turla, Venomous Bear en Waterbug.
In december 2024 hebben Microsoft en Lumen Technologies Black Lotus Labs het gebruik van het gebruik van de in Pakistan gevestigde dreigingsacteur commando-and-Control (C2) -infrastructuur (C2) in Pakistan in Pakistan in Pakistan bekendgemaakt om zijn eigen aanvallen uit te voeren als een manier om aan te schrijven.
De tegenstander is ook waargenomen piggybacking op malware geassocieerd met andere dreigingsacteurs om zijn kazuar achterdeur te leveren op doelapparaten in Oekraïne.
De Windows Maker merkte op dat de AITM -positie waarschijnlijk wordt vergemakkelijkt door wettelijk onderschepping en de installatie van rootcertificaten onder het mom van Kaspersky Antivirus omvat om verhoogde toegang tot het systeem te verkrijgen.
De eerste toegang wordt bereikt door doelapparaten om te leiden naar dreiging met acteur-gecontroleerde infrastructuur door ze achter een gevangen portal te plaatsen, wat leidt tot de download en uitvoering van de Apolloshadow-malware.
“Eenmaal achter een gevangen Portal is de Windows -testconnectiviteitsstatusindicator geïnitieerd – een legitieme service die bepaalt of een apparaat internettoegang heeft door een HTTP GET -verzoek te verzenden naar hxxp: //www.msftconnecttest (.) Com/Redirect, die zou moeten leiden naar MSN (.) Com,” zei Microsoft.
“Zodra het systeem het browservenster naar dit adres opent, wordt het systeem omgeleid naar een afzonderlijk acteur-gecontroleerd domein dat waarschijnlijk een certificaatvalidatiefout weergeeft, die het doel ertoe aanzet om Apolloshadow te downloaden en uit te voeren.”
De malware vervolgens Beacons host informatie op de C2-server en voert een binair genaamd CertificedB.Exe uit als het apparaat niet op standaardbeheerdersinstellingen wordt uitgevoerd, en haalt als een tweede fase payload een onbekend Visual Basic-script op.
In de laatste stap start het Apolloshadow-proces zichzelf opnieuw en presenteert de gebruiker een pop-upvenster van de User Access Control (UAC) en instrueert ze om het de hoogste voorrechten te verlenen die beschikbaar zijn voor de gebruiker.
Het uitvoeringspad van Apolloshadow varieert als het loopproces al met voldoende verhoogde privileges wordt uitgevoerd, waardoor ze worden misbruikt om alle netwerken in te stellen op privéveranderingen van registratieprofiel en een administratieve gebruiker te maken met de gebruikersnaam updatususer en een hard gecodeerd wachtwoord, waardoor persistente toegang tot de machine mogelijk is.
“Dit induceert verschillende wijzigingen, waaronder het toestaan van het hostapparaat om te ontdekken en ontspannende firewallregels om het delen van bestanden mogelijk te maken,” zei het bedrijf. “Hoewel we geen directe pogingen voor laterale beweging hebben gezien, zal de belangrijkste reden voor deze wijzigingen waarschijnlijk de moeilijkheid van laterale beweging op het netwerk verminderen.”
Zodra deze stap succesvol is voltooid, worden slachtoffers een venster weergegeven waaruit blijkt dat de implementatie van de digitale certificaten aan de gang is, waardoor twee rootcertificaten op de machine worden geïnstalleerd met behulp van het Certutil -hulpprogramma. Ook is een bestand genaamd “wincert.js”, waarmee Mozilla Firefox de rootcertificaten kan vertrouwen.
Om zich te verdedigen tegen geheime Blizzard -activiteit, worden diplomatieke entiteiten die in Moskou actief zijn aangespoord om het principe van het minste privilege (POLP) te implementeren, periodiek bevoorrechte groepen te beoordelen en alle verkeer via een gecodeerde tunnel naar een vertrouwd netwerk te bekijken of een Virtual Private Network (VPN) serviceprovider te gebruiken.
