El actor de amenaza de estado-estado ruso conocido como Tormenta secreta se ha observado orquestando una nueva campaña de ciber espionaje dirigido a embajadas extranjeras ubicadas en Moscú mediante un ataque adversario en el medio (AITM) en el nivel de proveedor de servicios de Internet (ISP) y entrega un malware personalizado denominado Apollohadow.
«Apolloshadow tiene la capacidad de instalar un certificado raíz confiable para engañar a los dispositivos para entregarse en manos en los sitios maliciosos controlados por el actor, lo que permite que Secret Blizzard mantenga la persistencia en los dispositivos diplomáticos, probablemente para la casa recoleta de inteligencia», dijo el equipo de inteligencia de amenazas de Microsoft en un mensaje compartido con Hacker News.
Se evalúa que la actividad está en curso desde al menos 2024, y la campaña representa un aventura de seguridad para el personal diplomático que depende de los ISP locales o los servicios de telecomunicaciones en Rusia.
Secret Blizzard (anteriormente Krypton), afiliado al Servicio de Seguridad Federal Rusia, incluso es rastreada por la comunidad más amplia de ciberseguridad bajo la pitón garzo de los apodos, cazador de hierro, URSA pensativa, serpiente, cumbre, uroburos, tortuga, oso tóxico y avena acuática.
En diciembre de 2024, Microsoft y Lumen Technologies Black Lotus Labs revelaron el uso del clase de piratería de una infraestructura de comando y control del actor de amenaza (C2) con sede en Pakistán para admitir a parte sus propios ataques como una forma de los esfuerzos de atribución de nubes.
El adversario incluso se ha observado a pidgybacking en malware asociado con otros actores de amenaza para entregar su puerta trasera Kazuar en dispositivos objetivo ubicados en Ucrania.
El fabricante de Windows señaló que la posición de AITM es probablemente facilitada por la intercepción reglamentario e incluye la instalación de certificados raíz bajo la apariencia de antivirus de Kaspersky para obtener un comunicación elevado al sistema.
El comunicación original se logra redirigiendo los dispositivos objetivo a la infraestructura controlada por los actores de amenaza al colocarlos detrás de un portal cautivo, lo que lleva a la descarga y ejecución del malware Apolloshadow.
«Una vez detrás de un portal cautivo, se inicia el indicador de estado de conectividad de prueba de Windows, un servicio auténtico que determina si un dispositivo tiene comunicación a Internet enviando una solicitud HTTP Get a Hxxp: //www.msftconnecttest (.) Com/redirect, que debería dirigir a MSN (.) Com», dijo Microsoft.
«Una vez que el sistema abre la ventana del navegador a esta dirección, el sistema se redirige a un dominio separado controlado por el actor que probablemente muestre un error de firmeza de certificado, que solicita al objetivo que descargue y ejecute Apolloshadow».
Luego, el malware influye en la información del alojamiento al servidor C2 y ejecuta un binario llamado certificatedb.exe si el dispositivo no se ejecuta en la configuración administrativa predeterminada y recupera como una carga útil de la segunda etapa, un script Visual Basic desconocido.
En el postrero paso, el proceso Apolloshadow se garrocha nuevamente y presenta al sucesor una ventana emergente de control de comunicación al sucesor (UAC) y les indica que le otorguen los privilegios más altos disponibles para el sucesor.
La ruta de ejecución de Apolloshadow varía si el proceso de ejecución ya se está ejecutando con suficientes privilegios elevados, abusándolos para establecer todas las redes en privado a través de cambios de perfil de registro y crear un sucesor burócrata con el nombre de sucesor Updatususer y una contraseña codificada, lo que permite un comunicación persistente a la máquina.
«Esto induce varios cambios, incluida la permitir que el dispositivo host se vuelva descubierto y relajando las reglas de firewall para permitir el intercambio de archivos», dijo la compañía. «Si adecuadamente no vimos ningún intento directo para el movimiento colateral, es probable que la razón principal de estas modificaciones reduzca la dificultad del movimiento colateral en la red».
Una vez que este paso se completa con éxito, las víctimas se muestran una ventana que muestra que la implementación de los certificados digitales está en progreso, lo que hace que se instalen dos certificados raíz en la máquina utilizando la utilidad de certutil. Incluso se ha descartado un archivo llamado «WinCert.js» que permite a Mozilla Firefox entregarse en manos en los certificados raíz.
Para defenderse de la actividad secreta de Blizzard, las entidades diplomáticas que operan en Moscú se instan a implementar el principio de pequeño privilegio (POLP), revisar periódicamente grupos privilegiados y enrutar todo el tráfico a través de un túnel encriptado a una red confiable o utilizar un proveedor de servicio de red privada imaginario (VPN).
