悪意のあるアプリケーションを排除するための簡単な手順 ApolloShadowは、スパイ活動を目的として特別に設計された有害なコンピュータプログラムです。これはランダムなウイルスではなく、「Secret Blizzard」と呼ばれるハッカー集団によって作成されました。この集団はロシア政府の諜報機関であるFSB(連邦保安庁)と関係があるとみられています。この集団は長年にわたりサイバー攻撃に関与しており、「Turla」、「VENOMOUS BEAR」、「Waterbug」といった別名でも知られています。ApolloShadowは彼らの最新ツールの一つであり、2024年頃から始まったサイバースパイ活動で使用されています。 ApolloShadowの主な標的は、モスクワに所在する外交機関や機密機関です。これには、外国大使館やその他の厳重なセキュリティが求められる事務所が含まれます。このマルウェアは、これらの組織から秘密裏に情報を収集するための大規模な活動の一環であり、専門家は、この活動が時間の経過とともに他の地域や標的へと拡大する可能性があると考えています。ApolloShadowが特に危険なのは、デバイスへの侵入方法と、侵入後の活動方法です。 ApolloShadowマルウェアは、中間者攻撃(AiTM)と呼ばれる手法を使用します。これは、攻撃者がスパイのように、被害者とインターネットの間に入り込み、会話を盗聴することを意味します。最近の攻撃では、インターネットサービスプロバイダー(ISP)レベルでこれが発生しました。つまり、攻撃者はインターネット接続自体に干渉することができたのです。被害者がインターネットに接続しようとすると、攻撃者が管理する偽のウェブサイトにリダイレクトされます。このウェブサイトは、ユーザーを騙してルート証明書と呼ばれるものをインストールさせるように設計されていました。 ルート証明書とは、コンピュータにどのウェブサイトやソフトウェアを信頼すべきかを指示するデジタルIDのようなものです。偽のルート証明書がインストールされると、攻撃者はコンピュータに有害なウェブサイトやプログラムを信頼させることができます。ApolloShadow社のケースでは、偽の証明書は有名なセキュリティソフトウェアであるKaspersky Anti-Virusに偽装されていました。被害者がこの証明書をインストールすると、ApolloShadow社はシステムに侵入し、スパイ活動を開始します。ネットワークの詳細やIPアドレスなど、デバイスに関する情報を収集し、管理者権限の取得を試みます。 ユーザーが管理者権限を持っていない場合、ApolloShadowマルウェアは証明書のインストール許可を求めるポップアップウィンドウを表示します。確認された攻撃では、このファイルは「CertificateDB.exe」という名前で、正規のKasperskyのセットアップファイルのように見えました。さらに、証明書がインストールされていることを示すメッセージを表示することで、マルウェアの信憑性を高めています。管理者権限を取得すると、ApolloShadowはデバイスをネットワーク上で検出可能にし、ファイアウォールを弱体化させてファイル共有を許可します。 ApolloShadowは、さまざまなWebブラウザにも対応しています。ChromiumベースのChromeやEdgeなどのブラウザでは、偽の証明書が自動的に承認されます。Firefoxでは、ApolloShadowはブラウザの設定を変更して証明書が拒否されないようにします。これにより、マルウェアは潜伏状態を維持し、気付かれずにスパイ活動を継続できます。SSL暗号化などのセキュリティレイヤーも削除できるため、被害者が訪問したWebサイトを把握し、ログイン情報やトークンなどの機密データを盗むことも可能です。 ApolloShadowマルウェアは、長期間スパイ活動を継続できるよう、デバイス上に秘密の管理者アカウントを作成します。既知の事例では、このアカウントは「UpdatusUser」という名前で、無期限のパスワードが設定されていました。これにより、元のユーザーがマルウェアを削除しようとしたとしても、攻撃者はデバイスに永続的にアクセスできます。ApolloShadowは国家機関の支援を受けているため、強力なツールと内部情報にアクセスでき、検出と阻止が特に困難です。 ApolloShadowはサイバースパイ活動に使用され、秘密裏に情報を収集するように設計されています。長期間潜伏したままで、非常に機密性の高い情報にアクセスできるため、その被害は計り知れません。特に政治的および地政学的な動機に基づく攻撃に利用されるため、深刻な脅威となります。この種のマルウェアは単なる技術的な問題ではなく、デジタル手段を通じて世界情勢に影響を与えるという、より大規模な戦略の一部なのです。 脅威の概要 名前: ApolloShadow カテゴリ: トロイの木馬 特徴: この感染の背後にいる脅威アクターは、いくつかの悪意のある目的でそれを利用することができます 脅威レベル:...
