O ator de ameaça ligado ao estado russo conhecido como Secret Blizzard tem sido notado por orquestrar uma nova campanha de ciberespionagem mirando embaixadas estrangeiras localizadas em Moscou.
Isso é feito através de um ataque do tipo adversary-in-the-middle (AitM) no nível do Internet Service Provider (ISP), entregando um malware customizado batizado de ApolloShadow.
"O ApolloShadow possui a capacidade de instalar um certificado root confiável para enganar dispositivos fazendo-os confiar em sites controlados por atores maliciosos, permitindo ao Secret Blizzard manter persistência em dispositivos diplomáticos, provavelmente para coleta de inteligência", a equipe de Inteligência de Ameaças da Microsoft relatou em um informe compartilhado com o site The Hacker News.
A atividade é avaliada como contínua desde pelo menos 2024, com a campanha representando um risco de segurança para o pessoal diplomático que depende de ISPs locais ou serviços de telecomunicações na Rússia.
Secret Blizzard (anteriormente Krypton), afiliado ao Serviço Federal de Segurança da Rússia, é também acompanhado pela comunidade mais ampla de cibersegurança sob os pseudônimos Blue Python, Iron Hunter, Pensive Ursa, Snake, SUMMIT, Uroburos, Turla, Venomous Bear e Waterbug.
Em dezembro de 2024, a Microsoft e a Lumen Technologies Black Lotus Labs divulgaram o uso do grupo de hackers de uma infraestrutura de comando e controle (C2) baseada no Paquistão para realizar seus próprios ataques como uma maneira de obscurecer esforços de atribuição.
O adversário também tem sido observado utilizando malware associado a outros atores de ameaça para entregar sua porta dos fundos Kazuar em dispositivos alvo localizados na Ucrânia.
O fabricante do Windows observou que a posição de AitM é provavelmente facilitada por interceptação legal e inclui a instalação de certificados root sob o disfarce de antivírus Kaspersky para obter acesso elevado ao sistema.
O acesso inicial é conseguido redirecionando dispositivos alvo para infraestrutura controlada pelo ator de ameaça, colocando-os atrás de um portal cativo, levando ao download e execução do malware ApolloShadow.
"Uma vez atrás de um portal cativo, o Indicador de Status de Conectividade de Teste do Windows é iniciado—um serviço legítimo que determina se um dispositivo tem acesso à internet enviando uma requisição HTTP GET para hxxp://www.msftconnecttest[.]com/redirect, o qual deveria direcionar para msn[.]com," disse a Microsoft.
Uma vez que o sistema abre a janela do navegador para este endereço, o sistema é redirecionado para um domínio controlado separadamente pelo ator que provavelmente exibe um erro de validação de certificado, o que induz o alvo a baixar e executar o ApolloShadow.
O malware então envia informações do host para o servidor C2 e executa um binário chamado CertificateDB.exe caso o dispositivo não esteja rodando em configurações administrativas padrão, e recupera como um payload de segunda etapa um Script Visual Basic desconhecido.
No último passo, o processo do ApolloShadow se lança novamente e apresenta ao usuário uma janela de controle de acesso do usuário (UAC) instruindo-os a conceder-lhe os privilégios mais altos disponíveis ao usuário.
O caminho de execução do ApolloShadow varia se o processo em execução já estiver rodando com privilégios elevados o suficiente, abusando deles para definir todas as redes como Privadas via mudanças de perfil do registro e criar um usuário administrativo com o nome de usuário UpdatusUser e uma senha codificada, permitindo acesso persistente à máquina.
"Isso induz várias mudanças, incluindo permitir que o dispositivo hospedeiro se torne descobrível, e relaxar regras de firewall para habilitar o compartilhamento de arquivos," disse a empresa.
"Embora não tenhamos visto tentativas diretas de movimento lateral, a principal razão para estas modificações é provavelmente reduzir a dificuldade do movimento lateral na rede."
Uma vez que esta etapa seja concluída com sucesso, às vítimas é mostrada uma janela indicando que a implementação dos certificados digitais está em progresso, causando a instalação de dois certificados root na máquina usando a utilidade certutil.
Também é deixado um arquivo chamado "wincert.js" que permite ao Mozilla Firefox confiar nos certificados root.
Para se defender contra a atividade do Secret Blizzard, entidades diplomáticas operando em Moscou são instadas a implementar o princípio do menor privilégio (PoLP), revisar periodicamente grupos privilegiados, e rotear todo o tráfego através de um túnel encriptado para uma rede confiável ou usar um serviço de rede virtual privada (VPN).
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...