Hoe ApolloShadow-malware uit het besturingssysteem te verwijderen
TrojanOok bekend als: ApolloShadow virus
Doe een gratis scan en controleer of uw computer is geïnfecteerd.
VERWIJDER HET NUOm het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door RCS LT, het moederbedrijf van PCRisk.
Wat voor soort malware is ApolloShadow?
ApolloShadow is de naam van een kwaadaardig programma dat is waargenomen in cyberspionagecampagnes. Het is een op maat gemaakte malware die wordt gebruikt door een bedreigingsactor met de naam “Secret Blizzard”. Deze groep maakt vermoedelijk deel uit van de FSB (Federale Veiligheidsdienst van de Russische Federatie). Secret Blizzard wordt in verband gebracht met bedreigers die worden gevolgd als ATG26, Blue Python, Snake, Turla, Uroburos, VENOMOUS BEAR, Waterbug en Wraith.
ApolloShadow-malware wordt gebruikt in lopende campagnes die ten minste in 2024 zijn begonnen. Deze activiteiten zijn gericht op diplomatieke instanties en andere gevoelige operaties in Moskou. Het is niet onwaarschijnlijk dat ApolloShadow-campagnes zich zullen uitbreiden.
ApolloShadow-malwareoverzicht
ApolloShadow is een op maat gemaakte malware die wordt gebruikt door de door de Russische staat gesteunde dreigingsactor “Secret Blizzard”. Campagnes die deze malware verspreiden, maakten gebruik van de AiTM-techniek (Adversary-in-The-Middle). AiTM is een methode waarbij de tegenstander zich tussen twee (of meer) netwerken plaatst om bepaalde activiteiten te vergemakkelijken (zoals het verspreiden van malware). Deze techniek is niet nieuw voor Secret Blizzard, aangezien deze groep soortgelijke tactieken heeft gebruikt in eerdere campagnes gericht op Oost-Europese ministeries van Buitenlandse Zaken.
In de meest recente ApolloShadow-campagnes – die gericht waren op het compromitteren van diplomatieke instanties, buitenlandse ambassades en andere zeer gevoelige organisaties in Moskou – vond de AiTM-aanval plaats op het niveau van de ISP (internetprovider).
Om dit nader toe te lichten: het beoogde apparaat werd achter een captive portal geplaatst en de Windows Test Connectivity Status Indicator-service werd uitgevoerd – maar in plaats van dat de browser de juiste pagina opende, werd het slachtoffer omgeleid naar een door de aanvaller gecontroleerd domein. Aangezien de infectieketen van ApolloShadow afhankelijk is van de installatie van een rootcertificaat, is het zeer waarschijnlijk dat de geopende website bedoeld is om de gebruiker te misleiden om dit te installeren (bijvoorbeeld door een foutmelding over de validatie van het certificaat weer te geven). Een van de bekende vermommingen voor het rootcertificaat was Kaspersky Anti-Virus.
Er wordt vermoed dat ApolloShadow-infecties TLS/SSL-stripping-aanvallen mogelijk maken, waarbij browsers worden gedwongen om verbinding te maken met websites door beveiligingsmaatregelen zoals SSL-encryptie te omzeilen. In dat geval zou de malware toegang kunnen krijgen tot het grootste deel van de browse-activiteiten van het slachtoffer, evenals tot bepaalde tokens en inloggegevens.
Om uit te leggen hoe deze campagne het ISP-niveau bereikt: de beoogde entiteiten maakten gebruik van lokale Russische internet-/telecommunicatiediensten en Secret Blizzard is een door de staat gesteunde bedreigingsactor.
Door het rootcertificaat te downloaden/installeren, introduceert het slachtoffer ApolloShadow in het apparaat. De malware begint zijn activiteiten door relevante apparaatinformatie te verzamelen, waaronder netwerkgegevens en het IP-adres.
Dit programma probeert beheerdersrechten te verkrijgen en als het gebruikersaccount deze niet heeft, wordt de pop-up UAC (User Account Control) weergegeven. In dit venster wordt gevraagd om het rootcertificaat te installeren. In de waargenomen aanvallen heette het te installeren bestand " CertificateDB.exe" en werd, zoals eerder vermeld, gepresenteerd als de installatie-opzet van Kaspersky. De malware kan een pop-up weergeven waarin wordt beweerd dat er certificaten worden geïnstalleerd.
Nadat de rechten met succes zijn geëscaleerd, maakt ApolloShadow het apparaat vindbaar op het netwerk. Het kan ook een van twee methoden gebruiken om de firewall te verzwakken en het delen van bestanden mogelijk te maken. Chromium-gebaseerde browsers accepteren het certificaat van ApolloShadow als vertrouwd, terwijl het kwaadaardige programma de voorkeuren voor de Mozilla Firefox-browser moet wijzigen om te voorkomen dat het certificaat wordt geweigerd.
Bovendien maakt ApolloShadow een nieuw beheerdersaccount aan (met de naam “UpdatusUser” in de bekende infecties) met een hard gecodeerd wachtwoord voor onbepaalde tijd (zonder vervaldatum) – en op deze manier zorgt de malware voor permanente toegang.
ApolloShadow wordt gebruikt voor cyberspionage en de omvang van de schade die deze malware kan veroorzaken, vooral omdat het gedurende een aanzienlijke tijd verborgen kan blijven, kan niet nauwkeurig worden gekwantificeerd. Hoe dan ook, dit kwaadaardige programma vormt een ernstige bedreiging, vooral gezien het feit dat het wordt gebruikt in politiek/geopolitiek gemotiveerde aanvallen.
| Naam | ApolloShadow virus |
| Type bedreiging | Trojan, spyware. |
| Detectienamen | Avast (Win64:MalwareX-gen [Misc]), Combo Cleaner (Trojan.GenericKD.76987606), ESET-NOD32 (Win64/Turla.CY), Kaspersky (Trojan.Win64. ApolloShadow.a), Microsoft (Trojan:Win64/ApolloShadow.A!dha), Volledige lijst met detecties (VirusTotal) |
| Symptomen | Trojaanse paarden zijn ontworpen om heimelijk de computer van het slachtoffer te infiltreren en stil te blijven, waardoor er geen duidelijke symptomen zichtbaar zijn op een geïnfecteerde machine. |
| Verspreidingsmethoden | Geïnfecteerde e-mailbijlagen, kwaadaardige online advertenties, social engineering, software ‘cracks’. |
| Schade | Gestolen wachtwoorden en bankgegevens, identiteitsdiefstal, de computer van het slachtoffer wordt toegevoegd aan een botnet. |
| Malware verwijderen (Windows) |
Om mogelijke malware-infecties te verwijderen, scant u uw computer met legitieme antivirussoftware. Onze beveiligingsonderzoekers raden aan Combo Cleaner te gebruiken. Combo Cleaner voor Windows DownloadenGratis scanner die controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door RCS LT, het moederbedrijf van PCRisk. |
Voorbeelden van malware die wordt gebruikt bij cyberspionage
We hebben over duizenden kwaadaardige programma's geschreven; Shadowpad, TONEINS, RomCom en HyperBro zijn slechts enkele van onze artikelen over software die is gebruikt bij cyber-spionageaanvallen.
Malware is een brede term die verwijst naar software met verschillende kwaadaardige mogelijkheden, variërend van gegevensdiefstal tot bestandsversleuteling voor losgeld eisen.
Uiteraard wordt deze software veel gebruikt bij aanvallen met politieke en geopolitieke motieven. De meest voorkomende reden is echter financieel gewin. Andere motieven zijn onder meer het verstoren van processen (bijv. websites, diensten, bedrijven, instellingen, enz.), aanvallers die zichzelf willen vermaken of persoonlijke wrok willen koesteren, en hacktivisme.
Het moet worden benadrukt dat, ongeacht hoe malware werkt of voor welk doel deze wordt gebruikt, de aanwezigheid van deze software op een systeem de integriteit van het apparaat en de veiligheid van de gebruiker in gevaar brengt. Daarom moeten alle bedreigingen onmiddellijk na detectie worden verwijderd.
Hoe is ApolloShadow op mijn computer terechtgekomen?
Entiteiten die interessant zijn voor de Secret Blizzard-groep en die gebruikmaken van lokale Russische internetproviders, zijn bijzonder kwetsbaar voor de nieuwste ApolloShadow-campagne, die ook social engineering-tactieken combineert om de infectie te vergemakkelijken.
Deze malware kan echter ook met andere technieken worden verspreid. Social engineering en phishing-technieken zijn standaard bij de verspreiding van malware.
Over het algemeen wordt kwaadaardige software verspreid via backdoor/loader-type trojans, drive-by (heimelijke/misleidende) downloads, onbetrouwbare downloadkanalen (bijv. onofficiële en gratis websites voor het hosten van bestanden, peer-to-peer-netwerken voor het delen van bestanden, enz.), online oplichting, kwaadaardige bijlagen/links in spam (bijv. e-mails, PM's/DM's, posts op sociale media, enz.), malvertising, illegale software-activeringstools (“cracks”) en valse updates.
Bovendien kunnen sommige kwaadaardige programma's zich zelf verspreiden via lokale netwerken en verwijderbare opslagapparaten (bijv. externe harde schijven, USB-sticks, enz.).
Hoe kunt u de installatie van malware voorkomen?
Vanwege de specifieke aard van ApolloShadow-campagnes omvat het advies om de risico's te verminderen onder meer ervoor te zorgen dat het netwerkverkeer veilig wordt gerouteerd via een versleutelde tunnel. Het verkeer moet worden gerouteerd naar een betrouwbaar netwerk of VPN (Virtual Private Network) worden geleid dat niet wordt beheerd door of gelieerd is aan potentieel vijandige derde partijen.
Andere algemene aanbevelingen zijn onder meer het onderzoeken van software en deze alleen downloaden van officiële/geverifieerde bronnen. Alle programma's moeten worden geactiveerd en bijgewerkt met behulp van legitieme functies/tools, aangezien programma's die afkomstig zijn van derden malware kunnen bevatten.
Daarnaast raden we aan om waakzaam te zijn tijdens het surfen, aangezien het internet vol staat met misleidende en kwaadaardige inhoud. Inkomende e-mails en andere berichten moeten met de nodige voorzichtigheid worden benaderd. Bijlagen of links in verdachte/irrelevante e-mails mogen niet worden geopend, aangezien deze schadelijk kunnen zijn.
Het is van het grootste belang om betrouwbare antivirussoftware te installeren en up-to-date te houden. Beveiligingssoftware moet worden gebruikt om regelmatig systeemscans uit te voeren en gedetecteerde bedreigingen te verwijderen. Als u denkt dat uw computer al is geïnfecteerd, raden we u aan een scan uit te voeren met Combo Cleaner Antivirus voor Windows om geïnfiltreerde malware automatisch te verwijderen.
Screenshot van de pop-up die door ApolloShadow tijdens de installatie wordt weergegeven:
Onmiddellijke automatische malwareverwijdering:
Handmatig de dreiging verwijderen, kan een langdurig en ingewikkeld proces zijn dat geavanceerde computer vaardigheden vereist. Combo Cleaner is een professionele automatische malware verwijderaar die wordt aanbevolen om malware te verwijderen. Download het door op de onderstaande knop te klikken:
DOWNLOAD Combo CleanerDoor het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door RCS LT, het moederbedrijf van PCRisk.
Snelmenu:
- Wat is ApolloShadow?
- STAP 1. Handmatige verwijdering van ApolloShadow-malware.
- STAP 2. Controleer of uw computer schoon is.
Hoe verwijder ik malware handmatig?
Het handmatig verwijderen van malware is een ingewikkelde taak. Meestal kunt u dit het beste automatisch laten doen door antivirus- of antimalwareprogramma's. Om deze malware te verwijderen, raden we u aan Combo Cleaner Antivirus voor Windows te gebruiken.
Als u malware handmatig wilt verwijderen, moet u eerst de naam van de malware identificeren die u wilt verwijderen. Hier is een voorbeeld van een verdacht programma dat op de computer van een gebruiker wordt uitgevoerd:
Als u de lijst met programma's die op uw computer worden uitgevoerd hebt gecontroleerd, bijvoorbeeld met behulp van Taakbeheer, en een programma hebt gevonden dat verdacht lijkt, moet u deze stappen volgen:
Download een programma met de naam Autoruns. Dit programma toont automatisch startende toepassingen, het register en de locaties van het bestandssysteem:
Start uw computer opnieuw op in de veilige modus:
Gebruikers van Windows XP en Windows 7: Start uw computer op in de veilige modus. Klik op Start, klik op Afsluiten, klik op Opnieuw opstarten en klik op OK. Druk tijdens het opstarten van uw computer meerdere keren op de F8-toets op uw toetsenbord totdat u het menu Geavanceerde opties van Windows ziet. Selecteer vervolgens Veilige modus met netwerkmogelijkheden in de lijst.
Video die laat zien hoe u Windows 7 start in “Veilige modus met netwerkmogelijkheden”:
Gebruikers van Windows 8: Start Windows 8 op in de veilige modus met netwerkmogelijkheden - Ga naar het startscherm van Windows 8, typ Geavanceerd en selecteer Instellingen in de zoekresultaten. Klik op Geavanceerde opstartopties en selecteer Geavanceerd opstarten in het venster “Algemene pc-instellingen” dat wordt geopend.
Klik op de knop “Nu opnieuw opstarten”. Uw computer wordt nu opnieuw opgestart in het menu ‘Geavanceerde opstartopties’. Klik op de knop ‘Problemen oplossen’ en klik vervolgens op de knop ‘Geavanceerde opties’. Klik in het scherm met geavanceerde opties op ‘Opstartinstellingen’.
Klik op de knop ‘Opnieuw opstarten’. Uw pc wordt opnieuw opgestart in het scherm Opstartinstellingen. Druk op F5 om op te starten in de veilige modus met netwerkmogelijkheden.
Video die laat zien hoe u Windows 8 opstart in “Veilige modus met netwerkmogelijkheden”:
Windows 10-gebruikers: klik op het Windows-logo en selecteer het pictogram Power. Klik in het geopende menu op “Opnieuw opstarten” terwijl u de ‘Shift’-toets op uw toetsenbord ingedrukt houdt. Klik in het venster “Kies een optie” op “Problemen oplossen” en selecteer vervolgens “Geavanceerde opties”.
Selecteer in het menu met geavanceerde opties “Opstartinstellingen” en klik op de knop “Opnieuw opstarten”. In het volgende venster moet u op de knop “F5” op uw toetsenbord klikken. Hierdoor wordt uw besturingssysteem opnieuw opgestart in de veilige modus met netwerkmogelijkheden.
Video die laat zien hoe u Windows 10 start in “Veilige modus met netwerkmogelijkheden”:
Pak het gedownloade archief uit en voer het bestand Autoruns.exe uit.
Klik in de Autoruns-toepassing bovenaan op ‘Options’ en schakel de opties ”Hide Empty Locations“ en ”Hide Windows Entries" uit. Klik na deze procedure op het pictogram “Vernieuwen”.
Controleer de lijst die door de Autoruns-toepassing wordt weergegeven en zoek het malwarebestand dat u wilt verwijderen.
Noteer het volledige pad en de naam ervan. Houd er rekening mee dat sommige malware procesnamen verbergt onder legitieme Windows-procesnamen. In dit stadium is het erg belangrijk om te voorkomen dat u systeembestanden verwijdert. Nadat u het verdachte programma hebt gevonden dat u wilt verwijderen, klikt u met de rechtermuisknop op de naam ervan en kiest u “Verwijderen”.
Nadat u de malware via de Autoruns-toepassing hebt verwijderd (hierdoor wordt ervoor gezorgd dat de malware niet automatisch wordt uitgevoerd bij de volgende keer dat het systeem wordt opgestart), moet u op uw computer zoeken naar de naam van de malware. Zorg ervoor dat u verborgen bestanden en mappen inschakelt voordat u verdergaat. Als u de bestandsnaam van de malware vindt, verwijder deze dan.
Start uw computer opnieuw op in de normale modus. Als u deze stappen volgt, zou alle malware van uw computer moeten zijn verwijderd. Houd er rekening mee dat het handmatig verwijderen van bedreigingen geavanceerde computervaardigheden vereist. Als u niet over deze vaardigheden beschikt, laat het verwijderen van malware dan over aan antivirus- en antimalwareprogramma's.
Deze stappen werken mogelijk niet bij geavanceerde malware-infecties. Zoals altijd is het beter om infectie te voorkomen dan later malware te verwijderen. Om uw computer veilig te houden, installeert u de nieuwste updates voor het besturingssysteem en gebruikt u antivirussoftware. Om er zeker van te zijn dat uw computer vrij is van malware-infecties, raden we u aan deze te scannen met Combo Cleaner Antivirus voor Windows.
Veelgestelde vragen (FAQ)
Mijn computer is geïnfecteerd met ApolloShadow-malware. Moet ik mijn opslagapparaat formatteren om ervan af te komen?
Voor het verwijderen van malware zijn zelden zulke drastische maatregelen nodig.
Wat zijn de grootste problemen die ApolloShadow-malware kan veroorzaken?
De gevaren die aan een infectie verbonden zijn, hangen af van de mogelijkheden van het kwaadaardige programma en de doelstellingen van de aanvallers. ApolloShadow is een op maat gemaakte malware die wordt gebruikt door een door de Russische staat gesteunde bedreigingsactor met de naam “Secret Blizzard” . Het wordt gebruikt om ambassades en diplomatieke instanties in Moskou aan te vallen. Dit soort cyberspionageaanvallen brengen nog meer risico's met zich mee dan risicovolle malware, zoals ernstige privacyproblemen, financiële verliezen en identiteitsdiefstal.
Wat is het doel van ApolloShadow-malware?
Zoals hierboven vermeld, wordt ApolloShadow gebruikt voor cyberspionage. Aanvallen met politieke en geopolitieke motieven zijn echter niet het enige type. Winst is de meest voorkomende reden achter malware-infecties, maar kwaadaardige software wordt ook gebruikt voor amusement, het uitvoeren van persoonlijke wraakacties, het verstoren van processen (bijv. websites, diensten, bedrijven, enz.) en hacktivisme.
Hoe is de ApolloShadow-malware op mijn computer terechtgekomen?
In de laatste campagnes was de infiltratieketen van ApolloShadow afhankelijk van de AiTM-techniek op ISP-niveau; slachtoffers die gebruik maakten van lokale Russische ISP's waren dus bijzonder kwetsbaar.
Over het algemeen zijn de meest gebruikte methoden voor de verspreiding van malware: drive-by downloads, trojans, spam, malvertising, online oplichting, dubieuze downloadkanalen (bijv. freeware en gratis websites voor bestandsopslag, peer-to-peer-netwerken, enz.), valse updaters en illegale software-activeringstools (“cracking”). Sommige kwaadaardige programma's kunnen zich zelf verspreiden via lokale netwerken en verwijderbare opslagapparaten.
Beschermt Combo Cleaner mij tegen malware?
Combo Cleaner is ontworpen om systemen te scannen en alle soorten bedreigingen te verwijderen. Het is in staat om de meeste bekende malware-infecties te detecteren en te verwijderen. Houd er rekening mee dat het uitvoeren van een volledige systeemscan essentieel is, aangezien geavanceerde schadelijke programma's zich vaak diep in systemen verbergen.
Delen:
Facebook
X.com
LinkedIn
Link kopiëren
Tomas Meskauskas
Deskundig beveiligingsonderzoeker, professioneel malware-analist
Ik ben gepassioneerd door computerbeveiliging en -technologie. Ik ben al meer dan 10 jaar werkzaam in verschillende bedrijven die op zoek zijn naar oplossingen voor computertechnische problemen en internetbeveiliging. Ik werk sinds 2010 als auteur en redacteur voor PCrisk. Volg mij op Twitter en LinkedIn om op de hoogte te blijven van de nieuwste online beveiligingsrisico's.
Het beveiligingsportaal PCrisk wordt aangeboden door het bedrijf RCS LT.
Gecombineerde krachten van beveiligingsonderzoekers helpen computergebruikers voorlichten over de nieuwste online beveiligingsrisico's. Meer informatie over het bedrijf RCS LT.
Onze richtlijnen voor het verwijderen van malware zijn gratis. Als u ons echter wilt steunen, kunt u ons een donatie sturen.
DonerenHet beveiligingsportaal PCrisk wordt aangeboden door het bedrijf RCS LT.
Gecombineerde krachten van beveiligingsonderzoekers helpen computergebruikers voorlichten over de nieuwste online beveiligingsrisico's. Meer informatie over het bedrijf RCS LT.
Onze richtlijnen voor het verwijderen van malware zijn gratis. Als u ons echter wilt steunen, kunt u ons een donatie sturen.
Doneren
▼ Toon discussie