Une fois derrière le portail captif, la page initie l’indicateur d’état de connectivité de test Windows, un service légitime qui détermine si un appareil a un accès Internet en envoyant une demande de GET HTTP à hxxp: //www.msftconnecttest[.]com / redirection. Ce site, à son tour, redirige le navigateur vers MSN[.]com. Comme l’a expliqué le post de jeudi:
Une fois que le système ouvre la fenêtre du navigateur sur cette adresse, le système est redirigé vers un domaine distingué par acteur qui affiche probablement une erreur de validation de certificat qui invite la cible à télécharger et à exécuter Apolloshadow. Après l’exécution, Apolloshadow vérifie le niveau de privilège du ProcessToken et si le périphérique ne fonctionne pas sur les paramètres administratifs par défaut, le malware affiche la fenêtre pop-up (UAC) de contrôle de l’utilisateur (UAC) pour inviter l’utilisateur à installer des certificats avec le nom de fichier CertificatedB.exe, qui obtient des privilèges de Kaspersky pour installer des certificats racinaires et permettre à l’acteur de gagner des privilèges surélevés dans le système Kaspersky pour installer des certificats racinaires et de permettre à l’acteur d’obtenir des privilèges surélevés dans le système.
Le diagramme suivant illustre la chaîne d’infection:
Apolloshadow invoque le GetTokenInformationType API pour vérifier si elle a des droits système suffisants pour installer le certificat racine. Sinon, le malware utilise un processus sophistiqué qui usurpant une page à hxxp: //timestamp.diginert[.]com / enregistré, qui à son tour envoie au système une charge utile de deuxième étape sous la forme d’un VBScript.
Une fois décodé, Apolloshadow se relance et présente à l’utilisateur une fenêtre de contrôle d’accès utilisateur cherchant à élever l’accès de son système. (Microsoft a fourni beaucoup plus de détails techniques sur la technique de la publication de jeudi.)
Si Apolloshadow a déjà des droits système suffisants, le malware configure tous les réseaux auxquels l’hôte se connecte en tant que privé.
“Cela induit plusieurs modifications, notamment en permettant au dispositif hôte de devenir découvrable et relaxant des règles de pare-feu pour permettre le partage de fichiers”, a expliqué Microsoft. «Bien que nous n’ayons vu aucune tentative directe de mouvement latéral, la principale raison de ces modifications est susceptible de réduire la difficulté du mouvement latéral sur le réseau.» (Le Microsoft Post a également fourni des détails techniques sur cette technique.)
Microsoft a déclaré que la capacité de faire confiance aux appareils infectés de faire confiance aux sites malveillants permet à l’acteur de menace de maintenir la persistance, probablement pour une utilisation dans la collecte de renseignements.
La société conseille à tous les clients opérant à Moscou, en particulier des organisations sensibles, pour tunnel leur trafic à travers des tunnels chiffrés qui se connectent à un FAI de confiance.
