Microsoft Threat Intelligence hat eine laufende Cyber-Spionagekampagne der russischen Gruppe „Secret Blizzard” aufgedeckt. Seit mindestens 2024 werden Botschaften in Moskau attackiert. Die Angreifer kapern den Datenverkehr direkt auf Provider-Ebene (Adversary-in-the-Middle) und schleusen ihre Malware „ApolloShadow” ein.
Die wichtigsten Neuigkeiten im Überblick:
- ApolloShadow tarnt sich als Kaspersky-Installer, installiert ein manipuliertes Root-Zertifikat und ermöglicht so das Abfangen verschlüsselter Verbindungen sowie einen dauerhaften Zugriff auf die Systeme.
- Microsoft geht davon aus, dass das staatliche Abhörsystem SORM diese Aktivitäten technisch unterstützt.
- Besonders gefährdet sind diplomatische Einrichtungen und alle Organisationen, die russische ISPs nutzen.
Den englischsprachigen Originalbeitrag können Sie hier nachlesen.
Microsoft empfiehlt, den gesamten Datenverkehr über vertrauenswürdige VPN- oder Satellitenverbindungen außerhalb Russlands zu tunneln und einen umfassenden Endgeräteschutz (MFA, Defender/EDR, Least Privilege) umzusetzen.
Mehr zu Microsoft Threat Intelligence & Cybersecruity
- Lumma Stealer zerschlagen: Microsoft gelingt weltweiter Schlag gegen führendes Cybercrime-Tool | News Center Microsoft
- Täuschung mittels KI: Neue Betrugsmaschen und Gegenmaßnahmen | News Center Microsoft
- Cyber-Bedrohungen nehmen rapide zu: Der deutsche Staat ist digital nur „bedingt abwehrbereit“ | News Center Microsoft
