初始访问与攻击链
微软威胁情报团队发现被追踪为Secret Blizzard的俄罗斯国家行为体(美国CISA认定为俄联邦安全局第16中心)自2024年起持续针对驻莫斯科外交机构开展网络间谍活动。该组织通过运营商级别的中间人(AiTM)位置部署自定义的ApolloShadow恶意软件,利用合法拦截系统(如俄罗斯的SORM系统)实现大规模监控。
攻击者通过ISP/电信级别的AiTM位置将目标设备重定向到 captive portal( captive portal是管理网络访问的合法网页,常见于酒店或机场网络)。当系统尝试通过www.msftconnecttest[.]com/redirect测试网络连接时,会被重定向到攻击者控制的域名并提示证书验证错误,诱使用户下载执行ApolloShadow恶意软件。
ApolloShadow恶意软件技术分析
执行流程与权限提升
ApolloShadow根据进程权限级别采用两种执行路径:
- 低权限执行:通过
GetIpAddrTableAPI收集主机IP信息,进行Base64编码后通过伪造的Digicert证书验证请求外传数据 - 高权限执行:修改网络配置为私有模式,放松防火墙规则,启用网络发现和文件共享功能
证书安装与持久化
恶意软件通过以下步骤实现持久化:
- 使用
certutil.exe安装两个根证书到系统存储 - 修改Firefox浏览器偏好设置(
wincert.js)使其信任系统证书存储 - 创建名为UpdatusUser的本地管理员账户并设置永不过期密码
字符串混淆技术
ApolloShadow使用XOR加密和硬编码常量对关键字符串进行混淆,包括:
- 网络配置修改命令:
FirewallAPI.dll,-32752(启用网络发现) FirewallAPI.dll,-28502(启用文件和打印机共享)
防御建议与检测指标
防护措施
- 通过加密隧道路由所有流量到可信网络
- 使用卫星连接等不受当地控制的基础设施
- 实施最小权限原则和多因素认证(MFA)
- 启用云交付保护和攻击面减少规则
Microsoft Defender检测
- Defender Antivirus:检测为Trojan:Win64/ApolloShadow
- Defender for Endpoint:提供可疑证书安装、certutil活动等警报
- 安全Copilot:提供事件调查、用户分析等预构建提示簿
威胁狩猎查询
提供Microsoft Defender XDR和Sentinel的ASIM查询语句,用于检测:
- captive portal重定向后的文件下载行为
- 网络会话中的IOC匹配(IP地址45.61.149[.]109,域名kav-certificates[.]info)
- 文件哈希匹配(SHA256: 13fafb1ae2d5de024e68f2e2fc820bc79ef0690c40dbfd70246bcc394c52ea20)
关联威胁情报
该活动与已知威胁组织VENOMOUS BEAR、Turla等存在重叠,采用类似的技术手段。微软建议所有在莫斯科运营的敏感组织立即采取防护措施,防止此类高级持续性威胁。