ICS Labs Outbreak Alert - Secret Blizzard

Microsoft Threat Intelligence descobriu uma campanha de ciberespionagem conduzida por um ator identificado como Secret Blizzard, que tem como alvo embaixadas localizadas em Moscou, explorando uma posição de adversary-in-the-middle (AiTM) para implantar seu próprio malware personalizado, ApolloShadow. Recentemente, foi confirmado que esse ator é capaz de realizar ciberespionagem no nível de Provedores de Serviços de Internet (ISPs). As atividades conduzidas pelo Secret Blizzard se sobrepõem às atribuídas a VENOMOUS BEAR, Uroburos, Snake, Blue Python, Turla, Wraith, ATG26 e Waterbug.

O ApolloShadow atua posicionando-se de forma a instalar certificados raiz falsos, disfarçado como Kaspersky Anti-Virus. Seu método principal envolve o uso de captive portals legítimos, porém com redirecionamentos ilegítimos, induzindo o usuário à instalação do malware. Uma vez comprometido o sistema, o malware é capaz de criar uma conta de administrador no host infectado e manter acesso persistente.

Indicadores de Comprometimento (IoCs)

• kav-certificates[.]info – domínio utilizado pelo ator para baixar o malware.

• 45.61.149[.]109 – endereço IP controlado pelo ator.

• 13fafb1ae2d5de024e68f2e2fc820bc79ef0690c40dbfd70246bcc394c52ea20 hash SHA256 do malware.

• CertificateDB.exe – nome de arquivo associado ao ApolloShadow.

  
  

Últimas Atualizações

• 9 de janeiro de 2018 – WeLiveSecurity publica informações sobre um grupo de ciberespionagem chamado Turla, que atua por meio de backdoors e ataques man-in-the-middle.

• 9 de maio de 2023 – CISA divulga informações sobre uma ferramenta chamada “Snake”, desenvolvida pelo grupo “Uroburos”.

• 31 de julho de 2025 – Microsoft Threat Intelligence publica relatório sobre o Secret Blizzard.