俄罗斯Secret Blizzard APT通过ISP获取使馆访问权限

俄罗斯高级持续性威胁（APT）组织Secret Blizzard正通过当地电信公司和ISP的中间人（AitM）位置， targeting 驻莫斯科的外国使馆。外交官使用的互联网接入服务成为攻击媒介。

根据微软今日发布的威胁情报报告，该组织利用ISP访问权限植入定制化的"ApolloShadow"恶意软件，该软件会在目标机器上安装伪装成卡巴斯基反病毒（AV）的可信根证书。

分析显示，该证书能"诱使设备将恶意网站识别为合法网站……使Secret Blizzard能够渗透外交系统并维持长期访问以进行情报收集"。

攻击背景与组织溯源

Secret Blizzard（又称Venomous Bear、Uroburos等）被CISA和多家安全研究人员评估为俄罗斯联邦安全局（第16中心）下属的国家资助APT组织。该组织以地缘政治动机的行动闻名，去年曾出现在针对东欧使馆和外交机构的间谍活动中。

微软指出，俄罗斯政府通过国内拦截系统（如SORM）支持Secret Blizzard的活动。目前外交官行动规模扩大，目标已扩展到驻莫斯科的官方使馆。

ApolloShadow恶意软件感染链

在该活动的最新阶段，Secret Blizzard利用AitM位置通过合法捕获门户重定向目标设备，触发Windows测试连接状态指示器服务。当系统打开浏览器窗口时，会被重定向到攻击者控制的域名，提示目标下载并执行ApolloShadow。

恶意软件随后显示用户账户控制（UAC）弹窗，诱使用户安装伪装成卡巴斯基安装程序的CertificateDB.exe证书文件，从而安装允许攻击者获取系统提升权限的根证书。

权限提升与持久化

获得足够权限后，ApolloShadow通过将所有网络设置为"专用"来修改主机配置，使主机设备可被发现并放宽防火墙规则以启用文件共享。恶意软件还能使用组件对象模型（COM）直接设置防火墙规则。

最终阶段通过在受感染系统上使用Windows API NetUserAdd创建用户名为UpdatusUser、密码永不过期的管理员账户，实现对目标的持久后门访问。

防御建议

微软研究人员建议采取以下防护措施：

• 实施最小权限原则，使用多因素认证（MFA），审计特权账户
• 定期审查高权限组（管理员、远程桌面用户等）
• 启用Microsoft Defender防病毒的云交付保护
• 使用端点检测与响应（EDR）的阻止模式
• 激活攻击面减少规则
• 阻止不符合信任标准的可执行文件运行
• 防止潜在混淆脚本运行

对于可能面临风险的用户，建议避免使用当地电话和互联网服务，转而使用卫星网络等替代方案，或通过加密隧道/VPN路由所有流量到可信网络。

本文基于微软威胁情报报告分析，详细技术细节可参考原始报告。