ApolloShadow マルウェア
ApolloShadowは、Secret Blizzardと呼ばれる脅威アクターが展開するサイバースパイ活動で利用される高度なマルウェアです。ロシア連邦保安庁(FSB)傘下とみられるこのグループは、ATG26、Blue Python、Snake、Turla、Uroburos、VENOMOUS BEAR、Waterbug、Wraithといった複数のコードネームで呼ばれています。このマルウェアは、少なくとも2024年以降、モスクワの重要機関を標的とした攻撃活動で積極的に利用されており、今後さらに拡大する可能性が高いことが示唆されています。
目次
カスタマイズされた脅威:ApolloShadow の起源と機能
ApolloShadowは、スパイ活動を目的としてカスタムビルドされた悪意のあるツールです。その導入は、外交機関やその他の高価値組織、特にロシアのインターネットおよび通信サービスに依存している組織を標的としたキャンペーンに関連しています。このマルウェアは、攻撃者が被害者と正規サービス間の通信を傍受する高度な中間者攻撃(AiTM)技術を使用して拡散されます。
ApolloShadowの最新のキャンペーンでは、AiTM技術がインターネットサービスプロバイダー(ISP)レベルで実装されていました。被害者は、正規のWindowsの動作を模倣するように設計されたキャプティブポータルにリダイレクトされました。Windowsのテスト接続ステータスインジケーターが起動すると、ユーザーは標準の検証ページではなく、攻撃者が管理するドメインにリダイレクトされました。このリダイレクトにより、感染チェーンを開始するために、多くの場合、信頼できるセキュリティプログラムを装った偽のルート証明書をインストールするよう促すプロンプトが表示されました。
セキュリティを破る:ApolloShadowがデバイスを侵害する方法
ルート証明書のインストールは、ApolloShadow がシステムにアクセスできるようにする上で極めて重要なステップです。ルート証明書が有効になると、以下の操作が実行されます。
- IP アドレスを含むデバイスとネットワーク情報を収集します。
- 偽のユーザーアカウント制御(UAC)プロンプトを介して管理者権限の取得を試みます。確認されたケースでは、インストーラーの名前は「CertificateDB.exe」でした。
- 証明書がインストールされていることを示す欺瞞的なポップアップを表示します。
マルウェアは昇格した権限を取得した後、感染したデバイスをローカルネットワーク上で検出可能にします。その後、ファイアウォール設定を変更し、ファイル共有を有効にすることで、システムの防御を弱体化させようとします。ブラウザのセキュリティを回避するには、以下の手順を実行します。
- Chromium ベースのブラウザは悪意のある証明書を自動的に信頼します。
- ただし、Firefox では、検出を回避するためにマルウェアによる追加の構成変更が必要になります。
ApolloShadow は、ハードコードされた有効期限のないパスワードを使用する「UpdatusUser」という永続的な管理ユーザー アカウントを作成することで、長期的なアクセスも保証します。
深層侵入:ApolloShadow で実現できること
ApolloShadow は、TLS/SSL ストリッピング攻撃を可能にすると疑われています。これらの攻撃は、ブラウザに安全な暗号化なしで接続を強制し、マルウェアがブラウジングアクティビティを監視し、ログイントークンや認証情報などの機密情報を収集することを可能にします。
このマルウェアは、そのステルス性と持続性により、極めて危険な存在となっています。検知されずに情報収集を行い、リモートアクセスを提供する能力は、国家主導のサイバー作戦におけるその価値を際立たせています。
欺瞞のツール:ソーシャルエンジニアリングと感染ベクター
ApolloShadowキャンペーンは、技術的な操作とソーシャルエンジニアリングを融合させています。被害者は、ネットワークレベルの攻撃によってリダイレクトされ、操作されるだけでなく、信頼できるソフトウェアを装って悪意のある証明書のインストールを促す、欺瞞的なプロンプトも表示されます。
ApolloShadow キャンペーンは主に ISP レベルの傍受とソーシャル エンジニアリングに依存していますが、感染ベクトルはより従来的なマルウェア配信戦術を通じて拡大する可能性があります。
一般的なマルウェア配布方法:
欺瞞戦術:
- フィッシング メッセージ (電子メール、プライベート メッセージ、ソーシャル メディアの投稿)。
- 悪意のあるリンクまたは添付ファイル。
- 不正なソフトウェア更新プログラムまたはインストーラー。
安全でないダウンロードソース:
- 非公式サイト。
- 無料のファイルホスティングサービス。
- ピアツーピア (P2P) 共有プラットフォーム。
さらに、ApolloShadow などの高度なツールを含む一部のマルウェア株は、ローカル ネットワーク経由で伝播したり、USB ドライブや外付けハード ディスクなどのリムーバブル ストレージ デバイスを使用して拡散したりする可能性があります。
結論:深刻なスパイ活動の脅威
ApolloShadowは、強い地政学的動機に基づく深刻なサイバースパイ活動の脅威です。Secret Blizzardは、信頼できるブランド、欺瞞的なネットワークレベルの攻撃、そして持続的なアクセス方法を活用することで、強力な情報収集ツールを構築しました。ロシアの影響下にある地域内またはその付近で事業を展開する組織、特に現地のISPに依存している組織は、この進化する脅威から身を守るために、より高度なセキュリティプロトコルを導入する必要があります。
