Tajni Blizzard koristi maliciozni softver u napadima AitM-a na nivo internet provajdera na ambasade u Moskvi

Ruski nacionalni državni haker poznat kao Secret Blizzard uočen je kako orkestrira novu kampanju sajber špijunaže usmjerenu na strane ambasade koje se nalaze u Moskvi putem napada tipa “protivnik u sredini” ( AitM ) na nivou internet provajdera (ISP) i isporukom prilagođenog malicioznog softvera pod nazivom ApolloShadow.

„ApolloShadow ima mogućnost instaliranja pouzdanog root certifikata kako bi prevario uređaje da povjeruju web-stranicama koje kontroliraju maliciozni hakeri, omogućavajući Secret Blizzardu da održi postojanost na diplomatskim uređajima, vjerovatno radi prikupljanja obavještajnih podataka“, rekao je tim Microsoft Threat Intelligence u izvještaju podijeljenom za The Hacker News.

Procjenjuje se da aktivnost traje najmanje od 2024. godine, a kampanja predstavlja sigurnosni rizik za diplomatsko osoblje koje se oslanja na lokalne internet provajdere ili telekomunikacijske usluge u Rusiji.

Tajna mećava (ranije Krypton), povezana s ruskom Federalnom sigurnosnom službom, takođe je praćena od strane šire zajednice za sajber sigurnost pod nadimcima Plavi pajton, Iron Hunter, Zamišljena medvjeda, Zmija, SUMMIT, Uroburos, Turla, Otrovni medvjed i Vodena buba.

U decembru 2024. godine, Microsoft i Lumen Technologies Black Lotus Labs otkrili su da je hakerska grupa koristila infrastrukturu komandovanja i kontrole (C2) aktera prijetnji sa sjedištem u Pakistanu za izvođenje vlastitih napada kao način za cloud atribuciju.

Takođe je primijećeno da se protivnik koristi malicioznim softverom povezanim s drugim prijetnjama kako bi isporučio svoj Kazuar backdoor na ciljne uređaje koji se nalaze u Ukrajini.

Proizvođač Windowsa je napomenuo da je pozicija AitM-a vjerovatno olakšana zakonitim presretanjem i uključuje instalaciju root certifikata pod krinkom Kaspersky antivirusa kako bi se dobio povećani pristup sistemu.

Početni pristup se postiže preusmjeravanjem ciljnih uređaja na infrastrukturu koju kontrolišu hakeri postavljanjem iza zaštitnog portala , što dovodi do preuzimanja i izvršavanja malicioznog softvera ApolloShadow.

„Nakon što se uređaj nađe iza zarobljenog portala, pokreće se indikator statusa testne povezanosti Windowsa – legitimna usluga koja utvrđuje da li uređaj ima pristup internetu slanjem HTTP GET zahtjeva na hxxp://www.msftconnecttest[.]com/redirect, koji bi trebao usmjeravati na msn[.]com“, rekao je Microsoft.

“Nakon što sistem otvori prozor preglednika na ovoj adresi, sistem se preusmjerava na zasebnu domenu koju kotroliše haker, a koja vjerovatno prikazuje grešku u validaciji certifikata, što podstiče ciljnu jedinicu da preuzme i izvrši ApolloShadow.”

Maliciozni softver zatim šalje informacije o hostu na C2 server i pokreće binarnu datoteku pod nazivom CertificateDB.exe ako uređaj ne radi na zadanim administrativnim postavkama, te kao teret druge faze preuzima nepoznati Visual Basic Script.

U posljednjem koraku, proces ApolloShadow se ponovo pokreće i prikazuje korisniku skočni prozor za kontrolu korisničkog pristupa (UAC) te mu daje upute da mu dodijeli najveće dostupne privilegije.

Putanja izvršavanja ApolloShadow-a varira ako se pokrenuti proces već izvršava s dovoljno povišenih privilegija, zloupotrebljavajući ih za postavljanje svih mreža na privatne putem promjena profila registra i kreiranje administratorskog korisnika s korisničkim imenom UpdatusUser i fiksno kodiranom lozinkom, omogućavajući trajni pristup mašini.

„Ovo izaziva nekoliko promjena, uključujući omogućavanje da host uređaj postane vidljiv i ublažavanje pravila zaštitnog zida kako bi se omogućilo dijeljenje datoteka“, saopštila je kompanija. „Iako nismo vidjeli nikakve direktne pokušaje lateralnog kretanja, glavni razlog za ove modifikacije je vjerovatno smanjenje poteškoća lateralnog kretanja na mreži.“

Nakon što se ovaj korak uspješno završi, žrtvama se prikazuje prozor koji pokazuje da je implementacija digitalnih certifikata u toku, što uzrokuje instalaciju dva root certifikata na računaru pomoću uslužnog programa certutil. Takođe je izgubljena datoteka pod nazivom “wincert.js” koja omogućava Mozilla Firefoxu da vjeruje root certifikatima.

Kako bi se odbranili od aktivnosti Secret Blizzarda, diplomatskim entitetima koji djeluju u Moskvi se preporučuje da implementiraju princip najmanjih privilegija (PoLP), periodično provjeravaju privilegovane grupe i usmjeravaju sav promet kroz šifrirani tunel do pouzdane mreže ili koriste provajderi virtualne privatne mreže (VPN).

Izvor:The Hacker News

Recent Articles

spot_img

Related Stories