HackerNews 编译,转载请注明出处:
微软研究人员发现与俄罗斯有关联的APT组织Secret Blizzard(又名Turla、Snake、Uroburos、Waterbug、Venomous Bear和KRYPTON)针对驻莫斯科外国大使馆发起网络间谍活动。该组织在互联网服务提供商(ISP)层面使用中间人攻击(AiTM)方法部署名为ApolloShadow的自定义恶意软件。该恶意软件可安装伪造的卡巴斯基反病毒软件受信任根证书,诱骗设备信任恶意网站,从而为网络间谍活动提供长期访问权限。此活动至少自2024年起活跃,对依赖当地互联网服务的外交使团和敏感组织构成严重威胁。
微软报告指出:“这是我们首次证实其具备在ISP层面实施攻击的能力。这意味着在俄罗斯使用本地ISP或电信服务的外交人员极可能成为Secret Blizzard通过此类服务进行中间人攻击的目标。”微软于2025年2月发现该活动,受害者被诱导通过仿冒Windows连接检查的虚假门户网站下载ApolloShadow恶意软件。一旦安装,恶意软件会诱使用户授予提升权限,从而安装根证书、监控流量并窃取凭证。此举使Secret Blizzard得以剥离安全连接并维持长期访问,实现对外交目标的监控。
报告进一步说明:“当系统通过浏览器访问特定地址时,会被重定向至攻击者控制的域名,该域名会显示证书验证错误,提示目标下载并执行ApolloShadow。执行后,恶意软件检测进程令牌权限级别:若设备未启用默认管理设置,则弹出用户账户控制(UAC)窗口,诱使用户以卡巴斯基安装程序伪装的CertificateDB.exe安装证书,使攻击者获得系统提升权限。”
恶意软件行为分析
ApolloShadow根据权限级别调整执行方式:
- 低权限模式:收集主机IP数据并编码,通过伪造的Digicert域名发送至命令控制服务器,攻击者返回经混淆的VBScript脚本以推送次级有效载荷。高权限模式:实施系统级更改——将网络设为私有模式以削弱防火墙防护、启用文件共享、安装恶意根证书(伪装为卡巴斯基安装程序)、添加使用硬编码永不过期密码的隐藏管理员账户,从而维持对设备的长期控制。
微软已发布此次攻击活动的入侵指标(IoCs)。
消息来源:securityaffairs;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
