俄罗斯国家黑客通过 ISP 级别的 AiTM 攻击监视驻莫斯科大使馆

俄罗斯国家行为者 Secret Blizzard 发起的一项秘密网络间谍行动一直在针对驻莫斯科的外国大使馆，从中间人攻击 (AiTM) 位置部署定制恶意软件。微软威胁情报最近揭露了这场高风险行动，揭示了攻击者如何利用俄罗斯的电信基础设施监视外交目标。

该行动围绕着一个名为 ApolloShadow 的复杂恶意软件工具展开，该工具能够操纵系统证书，并伪装成受信任的应用程序（例如卡巴斯基杀毒软件），以欺骗用户并保持隐秘的持久性。

一旦部署，ApolloShadow 就会在受害机器上安装受信任的根证书，使攻击者能够拦截和解密流量、窃取凭据并保持持久立足点。

“ApolloShadow 能够安装受信任的根证书，以诱骗设备信任恶意行为者控制的网站……这使得 Secret Blizzard 能够在外交设备上保持持久性，”报告解释道。

该行动始于俄罗斯境内的互联网服务提供商 (ISP) 级别的初始访问。连接到互联网的设备会被重定向到一个强制门户，这是一个旨在模拟互联网访问检查的网页——非常类似于机场或酒店中常见的那种。

当目标尝试连接到互联网时，他们会被从一个微软域名（例如 www.msftconnecttest.com）重定向到一个由恶意行为者控制的域名，从而触发一个虚假的证书验证提示。

“系统被重定向到一个独立的、由行为者控制的域名，该域名可能会显示一个证书验证错误，从而提示目标下载并执行 ApolloShadow。”

如果目标没有以管理员权限运行，ApolloShadow 会显示一个名称为 CertificateDB.exe 的用户账户控制 (UAC) 提示，伪装成一个卡巴斯基安装程序。

一旦执行，ApolloShadow 会：

• 检查管理员权限
• 收集网络和主机信息
• 对其进行 Base64 编码以进行隐蔽的数据渗漏
• 伪造 Digicert 域名用于 C2 通信
• 使用混淆的 VBScript 有效载荷实现持久化

“由于攻击者处于 AiTM 位置，Secret Blizzard 可以利用 DNS 操纵将看似合法的通信重定向到攻击者控制的 C2，并返回一个编码的 VBScript 作为第二阶段有效载荷。”

凭借提升的权限，ApolloShadow 通过以下方式更改主机网络：

• 将所有网络设置为“专用”，削弱防火墙规则
• 使用组件对象模型 (COM) 对象启用文件和打印机共享
• 将根证书写入 %TEMP% 并通过 certutil.exe 安装它们
• 修改 Firefox 设置以使用名为 wincert.js 的脚本接受系统范围的证书

“ApolloShadow 在其二进制文件中多处使用字符串混淆……在使用时进行解码，并在使用后重新编码，以清除内存中的痕迹。”

为确保长期访问，该恶意软件会创建一个新的管理员用户——UpdatusUser，并为其设置一个硬编码的、永不过期的密码。

最后一步是创建一个用户名为 UpdatusUser 并使用硬编码密码的管理用户…… ApolloShadow 已成功安装到受感染主机上并拥有持久访问权限。

秘密暴雪，也称为 VENOMOUS BEAR、Snake 或 Turla，被 CISA 认为是俄罗斯联邦安全局（FSB）的一部分（第 16 中心）。微软认为，此行动得以实现是借助了合法拦截机制，例如 SORM——俄罗斯的国家监控系统。

这是我们第一次可以确认他们有能力在互联网服务提供商 (ISP) 层面这样做。