<div id="post_message_806763">

Компания Microsoft <a href="https://www.microsoft.com/en-us/security/blog/2025/07/31/frozen-in-transit-secret-blizzards-aitm-campaign-against-diplomats/" target="_blank">сообщила</a>, что хак-группа Secret Blizzard (она же Turla, Waterbug и Venomous Bear) атакует сотрудников иностранных посольств в Москве. Отчет гласит, что хакеры якобы используют MitM-позицию в сетях интернет-провайдеров и маскируют свою малварь ApolloShadow под антивирус «Лаборатории Касперского».<br/>
<br/>
Исследователи Microsoft Threat Intelligence пишут, что обнаружили эту кампанию в феврале 2025 года, однако она длится как минимум с 2024 года, и хакеры используют доступ к сетям неназванных интернет-провайдеров, чтобы направлять целевых пользователей на вредоносные сайты, которые на первый взгляд выглядят известными и надежными.<br/>
<br/>
Основная цель атакующих — побудить жертву выполнить полезную нагрузку, замаскированную под установщик антивируса «Лаборатории Касперского», а на самом деле представляющую собой малварь ApolloShadow.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/08/545736/Secret_Blizzard_infection_chain.jpg"/><br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Как только система открывает окно браузера по этому адресу, происходит перенаправление на отдельный домен, контролируемый злоумышленником. Скорее всего, там отображается ошибка проверки сертификата, после чего жертве предлагается скачать и запустить ApolloShadow. После запуска ApolloShadow проверяет уровень привилегий ProcessToken. Если устройство работает не с настройками по умолчанию (без прав администратора), вредоносное ПО отобразит всплывающее окно UAC, чтобы убедить пользователя установить сертификаты из файла с именем CertificateDB.exe. Этот файл маскируется под установщик Kaspersky, он нужен для установки корневых сертификатов и получения повышенных привилегий в системе», — гласит отчет компании.</font>
</td>
</tr>
</table>
</div>ApolloShadow внедряет на устройство корневой сертификат, что позволяет Secret Blizzard обмануть скомпрометированную систему, чтобы та распознавала вредоносные сайты как легитимные. В итоге хакеры получают возможность сохранить долгосрочный доступ к машине жертвы и собирать данные, а также работать над дальнейшим развитием атаки.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/08/545736/ms-2-scaled.jpg"/><br/>
<br/>
«Это первый случай, когда Microsoft может подтвердить возможность Secret Blizzard осуществлять шпионаж на уровне интернет-провайдеров, а значит, дипломатический персонал, использующий местных интернет-провайдеров и телекоммуникации, подвергается высокому риску и может стать целью AitM-атак [Adversary-in-the-Middle] Secret Blizzard», — заявляют в Microsoft.<br/>
<br/>
При этом исследователи сообщили <a href="https://www.theregister.com/2025/07/31/kremlin_goons_caught_abusing_isps/" target="_blank">СМИ</a>, что они «не имеют представления о характере взаимоотношений между злоумышленниками и интернет-провайдерами».<br/>
<br/>
<a href="https://xakep.ru/2025/08/01/apolloshadow" target="_blank">@ xakep.ru</a>
</div>