主要观点：周四微软警告称，俄罗斯国家黑客正利用在 ISP 层面运行的中间人攻击，用定制恶意软件瞄准莫斯科的外国大使馆。该活动自去年开始，利用该国的 ISP 控制网络，以“秘密暴雪”为名的威胁组织通过这种中间人攻击方式，将自己置于目标大使馆和其连接端点之间，诱导目标访问看似知名可信的恶意网站以安装定制恶意软件 ApolloShadow，该恶意软件可安装 TLS 根证书以加密冒充大使馆内受感染系统访问的可信网站，微软还提供了关于该攻击的技术细节及应对建议。
关键信息：

• 威胁组织“秘密暴雪”自 1996 年活跃，是俄罗斯联邦安全局的单位，还被追踪为其他多个名称。
• 攻击始于将目标置于强制认证的捕获门户后，利用 Windows 测试连接状态指示器进行重定向，诱导目标下载并执行 ApolloShadow。
• ApolloShadow 会检查系统权限，若不足则使用复杂过程欺骗页面发送 VBScript 载荷，若权限足够则配置网络为私有以降低网络横向移动难度。
• 该攻击能使感染设备信任恶意网站，以维持持久性用于情报收集，微软建议在莫斯科的客户通过加密隧道连接可信 ISP。
  重要细节：
• 2 月观察到的中间人攻击开始时将目标置于捕获门户。
• ApolloShadow 会调用GetTokenInformationTypeAPI 检查权限，不足时使用欺骗页面发送 VBScript 载荷，权限足够时配置网络。
• 微软提供了关于攻击技术的许多详细信息及相关图表。