Microsoft: Secret Blizzard атакует дипмиссии в РФ, маскируясь под продукты «Лаборатории Касперского»
Компания Microsoft сообщила, что хак-группа Secret Blizzard (она же Turla, Waterbug и Venomous Bear) атакует сотрудников иностранных посольств в Москве. Отчет гласит, что хакеры якобы используют MitM-позицию в сетях интернет-провайдеров и маскируют свою малварь ApolloShadow под антивирус «Лаборатории Касперского».
Исследователи Microsoft Threat Intelligence пишут, что обнаружили эту кампанию в феврале 2025 года, однако она длится как минимум с 2024 года, и хакеры используют доступ к сетям неназванных интернет-провайдеров, чтобы направлять целевых пользователей на вредоносные сайты, которые на первый взгляд выглядят известными и надежными.
Основная цель атакующих — побудить жертву выполнить полезную нагрузку, замаскированную под установщик антивируса «Лаборатории Касперского», а на самом деле представляющую собой малварь ApolloShadow.
«Как только система открывает окно браузера по этому адресу, происходит перенаправление на отдельный домен, контролируемый злоумышленником. Скорее всего, там отображается ошибка проверки сертификата, после чего жертве предлагается скачать и запустить ApolloShadow. После запуска ApolloShadow проверяет уровень привилегий ProcessToken. Если устройство работает не с настройками по умолчанию (без прав администратора), вредоносное ПО отобразит всплывающее окно UAC, чтобы убедить пользователя установить сертификаты из файла с именем CertificateDB.exe. Этот файл маскируется под установщик Kaspersky, он нужен для установки корневых сертификатов и получения повышенных привилегий в системе», — гласит отчет компании.
ApolloShadow внедряет на устройство корневой сертификат, что позволяет Secret Blizzard обмануть скомпрометированную систему, чтобы та распознавала вредоносные сайты как легитимные. В итоге хакеры получают возможность сохранить долгосрочный доступ к машине жертвы и собирать данные, а также работать над дальнейшим развитием атаки.
«Это первый случай, когда Microsoft может подтвердить возможность Secret Blizzard осуществлять шпионаж на уровне интернет-провайдеров, а значит, дипломатический персонал, использующий местных интернет-провайдеров и телекоммуникации, подвергается высокому риску и может стать целью AitM-атак [Adversary-in-the-Middle] Secret Blizzard», — заявляют в Microsoft.
При этом исследователи сообщили СМИ, что они «не имеют представления о характере взаимоотношений между злоумышленниками и интернет-провайдерами».
About The Author
