2025-8-1 13:47:24 Author: www.securityinfo.it(查看原文) 阅读量:14 收藏
Ago 01, 2025 Attacchi, In evidenza, News, RSS
Secret Blizzard, gruppo cybercriminale legato ai servizi federali dello stato russo, ha preso di mira le ambasciate straniere a Mosca tramite un attacco Attacker-in-the-Middle a livello di ISP, con l’obiettivo di distribuire il malware ApolloShadow.
“Sebbene in precedenza avessimo affermato con poca sicurezza che l’attore conducesse attività di spionaggio informatico all’interno dei confini russi contro entità straniere e nazionali, questa è la prima volta che possiamo confermare che esso ha la capacità di farlo a livello di Internet Service Provider (ISP)” ha affermato il team di Microsoft Threat Intelligence in un approfondimento sulla campagna. “Questo significa che il personale diplomatico che usa ISP locali o servizi di telecomunicazioni in Russia molto probabilmente è un obiettivo di Secret Blizzard“.
Il team ha scoperto la campagna lo scorso febbraio, ma gli attacchi erano cominciati già nel 2024. Per l’accesso iniziale, i cybercriminali hanno usato dei portali “captive”, ovvero pagine web create per gestire l’accesso alla rete degli utenti. Quando la vittima naviga sull’indirizzo del portale, gli viene mostrato un errore di certificato e gli viene richiesto di scaricare un software – il malware ApolloShadow.
Una volta installato, ApolloShadow verifica se il dispositivo viene usato in modalità amministratore; in caso negativo, richiede all’utente di installare il certificato CertificateDB.exe che mima un installer Kaspersky per installare un certificato root e ottenere privilegi elevati sul sistema. A questo punto il gruppo ha pieno accesso al dispositivo e alle informazioni che contiene.
Microsoft sottolinea che le attività di Secret Blizzard di Attacker-in-the-Middle sono facilitate dal fatto che il governo le ritiene legali per proteggere la sicurezza nazionale.
La compagnia consiglia ai propri clienti, e in particolare agli enti critici che operano a Mosca, di effettuare il routing del traffico a una rete sicura tramite un tunnel cifrato o affidarsi a fornitori di VPN. Microsoft inoltre esorta le organizzazioni ad applicare il principio del privilegio minimo, a usare la MFA e a effettuare l’audit delle attività degli account con privilegi elevati.
Altro in questa categoria
如有侵权请联系:admin#unsafe.sh