Se ha observado que el actor de amenaza de estado-estado ruso, conocido como Secret Blizzard, coordina una nueva campaña cibernética dirigida a embajadas extranjeras en Moscú a través de ataques enemigos (AITM) en el nivel de proveedor de servicios de Internet (ISP), proporcionando malware personalizado llamado Apollozadow.
«Apolloshadow tiene la capacidad de instalar certificados raíz confiables en dispositivos de truco, confiar en los sitios maliciosos controlados por actores y Secret Blizzard mantendrá la tenacidad de los dispositivos diplomáticos, y es probable que sea una colección de inteligencia», dijo el equipo de inteligencia de amenazas de Microsoft en un informe compartido con Hacker News.
La actividad ha sido calificada como continua desde al menos 2024, y la campaña presenta un riesgo de seguridad para el personal diplomático que depende de los ISP locales en Rusia o los servicios de telecomunicaciones.
Secret Blizzard (anteriormente Krypton) perteneciente a los Servicios de Seguridad de la Federación de Rusia también está siendo rastreada por la comunidad más amplia de ciberseguridad bajo la pitón azul de Mónica, el cazador de hierro, el Príncipe Ursa, la serpiente, la cumbre, Uroblo, Tara, el oso venenoso y el agua de agua.
En diciembre de 2024, Black Lotus Labs de Microsoft y Lumen Technologies reveló que los grupos de piratería utilizarán la infraestructura de Comando y Control (C2) para los actores de amenazas con sede en Pakistán para llevar a cabo sus propios ataques como una forma de llevar a cabo esfuerzos de atribución de nubes.
Se ha observado al enemigo que se realizan piggybacks con malware asociado con otros actores de amenaza para entregar puertas de Kazuar a dispositivos dirigidos en Ucrania.
Windows Maker señaló que la ubicación de AITM se ve facilitada por la intercepción legal y obtiene un mayor acceso al sistema, incluida la instalación de certificados raíz bajo la apariencia del antivirus de Kaspersky.
El acceso inicial se logra amenazando la infraestructura controlada por el actor colocando el dispositivo objetivo detrás del portal cautivo, lo que lleva a la descarga y ejecución de Apolloshadow Malware.
«Detrás del portal cautivo, se iniciará el indicador de estado de conectividad de prueba de Windows. Este es un servicio legítimo que determina si un dispositivo tiene acceso a Internet al enviar una solicitud HTTP para obtener a Hxxp: //www.msftconnecttest (.) Com/redirección.
«Cuando el sistema abre una ventana del navegador en esta dirección, el sistema se redirigirá a otro dominio de control del actor que puede mostrar errores de validación de certificados, lo que le da al objetivo que descargue y ejecute Apolloshadow».
El malware aloja información en un servidor C2 y, si el dispositivo no se ejecuta con la configuración de administración predeterminada, ejecuta un binario llamado certimatedb.exe y recupera el script Visual Basic desconocido como una carga útil de dos etapas.
En el paso final, el proceso Apolloshadow se inicia nuevamente, presentando al usuario una ventana emergente de control de acceso al usuario (UAC), instruyendo al usuario que otorgue los privilegios más altos disponibles para el usuario.
La ruta de ejecución para Apolloshadow difiere si el proceso de ejecución ya se está ejecutando con privilegios suficientemente altos. Establezca todas las redes privadas a través de un perfil de registro y cree un usuario administrador con el nombre de usuario UpdateTususer y la contraseña codificada, lo que permite un acceso persistente a la máquina.
«Esto induce varios cambios, incluyendo hacer que los dispositivos de host sean descubridos y relajados reglas de firewall que permitan compartir archivos», dijo la compañía. «Si bien no hemos visto ningún intento directo de movimiento lateral, la razón principal de estas modificaciones puede reducir la dificultad del movimiento lateral en la red».
Una vez que este paso se complete con éxito, la víctima se presentará con una ventana que indica que la implementación del certificado digital está en progreso y se instalarán dos certificados raíz en la máquina utilizando la utilidad de certutil. También elimina un archivo llamado «WinCert.js» que permite a Mozilla Firefox confiar en el certificado raíz.
Para proteger contra actividades secretas de Blizzard, se alienta a las entidades diplomáticas que operan en Moscú a implementar el principio de menor privilegio (POLP), revisar los grupos privilegiados regularmente, enrutar todo el tráfico a redes confiables a través de túneles cifrados o utilizar proveedores de servicios de red privada virtual (VPN).
Source link
