A Microsoft Threat Intelligence legfrissebb megfigyelései alapján egy orosz állami háttérrel működő kampány célozza a Moszkvában működő diplomáciai szervezeteket. A kampány során az AiTM technikát használták fel az ApolloShadow nevű egyedi rosszindulatú szoftver telepítéséhez.

Az Adversary-in-the-Middle (AiTM) támadás során a támadó proxyként közvetít a felhasználó és a valós szolgáltatás között. Az AiTM azért veszélyes, mert a felhasználó úgy látja, hogy a valódi oldalon jár (mivel a támadó proxyzza a forgalmat), és még az MFA is működik, csakhogy a támadó vele együtt követi a folyamatot, és eltéríti azt. Valósidőben naplózza és továbbítja a beírt hitelesítési adatokat és az MFA-tokeneket is, a sikeres hitelesítés után megszerzi a végleges hozzáférést a session tokenhez, majd ezzel „MFA-megkerüléssel” belép a fiókba. Nem csak a jelszót lopja el, a hitelesítés teljes folyamatát. Az alap kétfaktoros hitelesítés (pl. SMS-kód, push notification, TOTP-kód) nem nyújt teljes védelmet AiTM ellen, mert ezek a tokenek is továbbításra kerülnek a támadó proxyján keresztül.

 Az ApolloShadow képes megbízható gyökér tanúsítványt telepíteni, hogy az eszközt rávegye a támadók által ellenőrzött webhelyek megbízhatóságára, lehetővé téve, hogy diplomáciai eszközökön perzisztenciát alakítsanak ki. Az akciót a Secret Blizzard nevű aktorhoz kötik.

A Secret Blizzard az orosz Szövetségi Biztonsági Szolgálathoz (FSZB) köthető állami szereplő, amelyet a következő neveken is ismernek: Turla, Snake, VENOMOUS BEAR, Uroburos. Tevékenységük a kiberkémkedésre és hírszerzési adatok gyűjtése állami technológiai eszközök segítségével, mint például a törvényes lehallgatási rendszerek.

A Secret Blizzard támadási kampánya az internetszolgáltató (ISP) szintjén helyezkedik el, kihasználva az oroszországi törvényes lehallgatási infrastruktúrát (System for Operative Investigative Activities – SORM). Ez lehetővé teszi, hogy a célba vett eszközök forgalmát elfogják és átformálják már a kapcsolódás kezdetén.

A fertőzési lánc egy hamis captive portal oldallal kezdődik, amely akkor jelenik meg, amikor egy eszköz próbál internetkapcsolatot létesíteni. Ezt a folyamatot a Windows operációs rendszer egyik alapfunkciója, a Test Connectivity Status Indicator (TCSI) indítja el, amely a hxxp://www.msftconnecttest[.]com/redirect címre küld HTTP GET kérést. Normális esetben ez a kapcsolat a msn[.]com oldalra irányítja tovább a felhasználót, azonban a támadó az AiTM technika segítségével ezt eltéríti egy általa kontrollált domainre.

Ezen az oldalon egy tanúsítványhibát szimulálnak, majd a felhasználónak felkínálnak letöltésre egy CertificateDB.exe nevű futtatható állományt. Ez a program valójában a Secret Blizzard-féle ApolloShadow malware-t tartalmazza. Amint a felhasználó lefuttatja az álcázott telepítőt, a rendszerben több észrevétlen folyamat indul el, amelynek célja gyökértanúsítványok telepítése, valamint a részletes rendszerinformációk gyűjtése és visszaküldése a támadó C2 szerverére.

Alacsony jogosultsági szinten a rendszer IP-címeit (GetIpAddrTable) Base64 kódolással összefűzi, majd egy lekérésben eljuttatja a támadó C2 címére. A támadó a domain manipulációval egy általa vezérelt kiszolgálóra irányítja a lekérést, és válaszban visszaküldi a második szakaszos VBScript payloadot. Ez edgB4ACD.vbs néven kerül mentésre a TEMP mappába, majd a wscript segítségével elindul.

Magas jogosultsági szinten a malware további lépéseket hajt végre. Minden csatlakozó hálózatot privát profilra állít a Registry-n keresztül, lazítva a tűzfal-szabályokat. COM objektumokon keresztül engedélyezi a fájlmegosztást és a hálózatfelderítést. Létrehoz egy “UpdatusUser” nevű adminisztrátori fájlhasználót, fix jelszóval és lejárat nélküli beállítással. Telepít két gyökértanúsítványt a certutil segítségével, majd eltávolítja a nyomokat. A Firefox más tanúsítványtárolókat használ, ezért a wincert.js konfigurációs állományt is elhelyezi, amely engedélyezi a rendszer-tanúsítványok elfogadását a böngésző számára:

pref("security.enterprise_roots.enabled", true);

A tanúsítvány és privát hálózat kombinációja lehetővé teszi AiTM támadások kiterjesztését. Elfogott session cookie-kkal a támadó beléphet MFA-t használó fiókokba is, kifinomultabb adathalászoldalakat jeleníthet meg, amelyek nemcsak kinézetre, de tanúsítvány szerint is érvényesek, redirecteken vagy böngészőbe ágyazott exploitokon keresztül további kártevőket telepíthet. A gyökértanúsítvány révén a támadó lehetővé teszi, hogy bármilyen HTTPS-alapú kapcsolatot hitelesnek láttasson a rendszer szemében.

A Windows-alapú rendszerek, ha egy hálózatot „privátnak” ismernek fel, a tűzfal szabályai lazábbak lesznek (pl. fájlmegosztás, RDP, WMI engedélyezése). A támadók így sokkal egyszerűbben mozoghatnak laterálisan a hálózaton belül. Felismerheti, milyen más gépek érhetők el, támadhatja azokat is, vagy kihasználhatja a felhasználó jelenlegi bejelentkezési adatait.

Felfedezett IoC-k:

(forrás, forrás)