【雲智維資安預警通知】
一、摘要
微軟揭露俄羅斯駭客Secret Blizzard、Turla、Waterbug、Venomous Bear的一系列網路間諜活動行為,他們利用對手中間人(AiTM)手法,攻擊位於莫斯科的各國大使館、外交單位,以及其他敏感的組織,並散布名為ApolloShadow的惡意程式。惡意程式啟動後會檢查受害裝置的權限層級,若是以非預設的管理員組態執行,就會顯示使用者存取控制(UAC)彈出式視窗,要求使用者執行CertificateDB.exe來安裝憑證。值得注意的是,此執行檔偽裝成卡巴斯基的安裝程式,於受害電腦植入根憑證,從而讓攻擊者能夠提升系統權限層級。
二、存在風險
微軟揭露俄羅斯駭客Secret Blizzard、Turla、Waterbug、Venomous Bear的一系列網路間諜活動行為,他們利用對手中間人(AiTM)手法,攻擊位於莫斯科的各國大使館、外交單位,以及其他敏感的組織,並散布名為ApolloShadow的惡意程式。
惡意程式啟動後會檢查受害裝置的權限層級,若是以非預設的管理員組態執行,就會顯示使用者存取控制(UAC)彈出式視窗,要求使用者執行CertificateDB.exe來安裝憑證。值得注意的是,此執行檔偽裝成卡巴斯基的安裝程式,於受害電腦植入根憑證,從而讓攻擊者能夠提升系統權限層級。
這波攻擊活動,駭客透過旅館或機場會出現的公共Wi-Fi登入網站Captive Portal,並將目標設備放置在這種登入網站的後面,一旦Windows的測試連線狀態指示器啟動,就會發出HTTP GET請求,此時攻擊者會將受害者重新導向到他們控制的網域,並疑似藉由憑證錯誤的理由,要求受害者下載ApolloShadow並執行。
IoC:
kav-certificates[.]info
45.61.149[.]109
13fafb1ae2d5de024e68f2e2fc820bc79ef0690c40dbfd70246bcc394c52ea20
CertificateDB.exe
建議改善措施:
定期更新存在漏洞之系統。
加強憑證與加密驗證。
對內部網路與可疑程式行為進行監控,偵測異常存取或惡意後門活動。
如內部有相關資安設備(防火牆、防毒軟體等),可評估將IoC匯入,藉以強化資安防護。
儘速導入雲智維服務,進行資安威脅情資偵測與聯防,降低企業資安風險。
情資報告連結:https://www.microsoft.com/en-us/security/blog/2025/07/31/frozen-in-transit-secret-blizzards-aitm-campaign-against-diplomats/