攻击活动概述

微软威胁情报团队发现俄罗斯国家背景的APT组织Secret Blizzard（又称VENOMOUS BEAR、Turla等）正在针对驻莫斯科的外交机构开展网络间谍活动。该组织通过中间人（AiTM）攻击位置部署自定义的ApolloShadow恶意软件，能够安装受信任的根证书来欺骗设备信任攻击者控制的恶意站点。

技术细节

AiTM与ApolloShadow部署

攻击者利用俄罗斯境内的ISP/电信运营商级别的AiTM位置，通过合法拦截系统（可能包括俄罗斯国内拦截系统SORM）实现中间人攻击。攻击过程中会伪装成卡巴斯基杀毒软件安装根证书，实现TLS/SSL剥离，使目标的大部分浏览活动以明文形式传输。

初始访问

攻击通过ISP级别的AiTM位置将目标设备重定向到 captive portal（ captive portal是用于管理网络访问的合法网页，如在酒店或机场连接互联网时遇到的页面）。随后Windows测试连接状态指示器启动，向hxxp://www.msftconnecttest[.]com/redirect发送HTTP GET请求。

投递与安装

系统打开浏览器窗口访问该地址后，被重定向到攻击者控制的域名，显示证书验证错误，提示目标下载并执行ApolloShadow。执行后，恶意软件检查进程令牌的权限级别，如设备未以默认管理设置运行，则显示用户账户控制（UAC）弹出窗口，提示用户安装证书。

ApolloShadow恶意软件分析

执行流程

ApolloShadow根据运行进程的权限级别使用两种执行路径。通过API GetTokenInformationType检索运行进程的令牌，并检查TokenInformation的值，判断是否包含TokenElevationTypeFulltype权限。

低权限执行

在低权限路径中，首先收集主机信息发送回AiTM控制的C2服务器。使用API GetIpAddrTable从IpAddrTable收集IP信息，每个条目单独进行Base64编码，用管道字符分隔，附加\r\n后组合成一个字符串，最后再次Base64编码准备外泄到C2主机。

编码的网络信息作为查询字符串添加到GET请求中，目标URL为hxxp://timestamp.digicert[.]com/registered。由于攻击者的AiTM位置，Secret Blizzard可以通过DNS操纵将合法通信重定向到攻击者控制的C2，并返回编码的VBScript作为第二阶段有效负载。

提升权限执行

当进程以足够提升的权限执行时，ApolloShadow将主机所有网络设置为私有，诱导多项更改包括使主机设备可被发现，放松防火墙规则以启用文件共享。ApolloShadow使用两种方法执行此更改：

1. 通过注册表设置NetworkProfiles：SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles，修改Category值为0，在主机重启后将网络配置文件设置为私有。
2. 直接使用组件对象模型（COM）对象设置防火墙规则，启用文件共享和网络发现。

证书安装与持久化

ApolloShadow向用户显示正在安装证书的窗口，将两个根证书写入%TEMP%目录，使用Windows certutil工具安装证书，安装后删除临时文件。为Firefox浏览器添加偏好设置文件wincert.js，使其信任添加到操作系统证书存储的根证书。最后使用Windows API NetUserAdd在受感染系统上创建用户名为UpdatusUser的管理员用户，密码硬编码且永不过期。

防御建议

微软建议所有客户，特别是在莫斯科运营的敏感组织实施以下建议：

• 将所有流量通过加密隧道路由到受信任的网络，或使用虚拟专用网络（VPN）服务提供商（如基于卫星的提供商），其基础设施不受外部控制或影响。
• 实践最小权限原则，使用多因素认证（MFA），并审计环境中的特权账户活动。
• 定期审查高权限组，如管理员、远程桌面用户和企业管理员。
• 在Microsoft Defender防病毒或等效防病毒产品中启用云提供的保护。
• 运行端点检测和响应（EDR）阻止模式，以便Defender for Endpoint可以阻止恶意项目。
• 启用攻击面减少规则，防止常见攻击技术。

检测与响应

Microsoft Defender XDR检测

Microsoft Defender防病毒将此威胁检测为以下恶意软件：

• Trojan:Win64/ApolloShadow

以下警报可能表明与此威胁相关的威胁活动：

• 检测到Secret Blizzard攻击者活动
• 可疑根证书安装
• 可疑certutil活动
• 在可疑情况下创建的用户账户
• 观察到具有可疑内容的脚本

狩猎查询

Microsoft Defender XDR客户可以运行以下查询在其网络中查找相关活动：

1
2
3

let CaptiveRedirectEvents = DeviceNetworkEvents | where RemoteUrl contains "msftconnecttest.com/redirect" | project DeviceId, RedirectTimestamp = Timestamp, RemoteUrl;
let FileDownloadEvents = DeviceFileEvents | where ActionType == "FileDownloaded" | project DeviceId, DownloadTimestamp = Timestamp, FileName, FolderPath;
CaptiveRedirectEvents | join kind=inner (FileDownloadEvents) on DeviceId | where DownloadTimestamp between (RedirectTimestamp .. (RedirectTimestamp + 2m)) | project DeviceId, RedirectTimestamp, RemoteUrl, DownloadTimestamp, FileName, FolderPath

危害指标（IOC）