回归最本质的信息安全

;

网络间谍组织通过MikroTik路由器影响受害者

2018年3月18日发布

44,380
0
0

导语:Kasperksy实验室曝露了一个新的网络间谍组织,该组织利用MikroTik路由器传播Slingshot间谍软件感染受害者。

Kasperksy实验室今天曝露了一个新的网络间谍组织。该组织利用MikroTik路由器感染受害者,研究人员描述该攻击很“独特”。

专家们称该组织为Slingshot,有证据表明他们于2012年开始活动,并且在2018年2月依然活跃。

卡巴斯基专家表示,由于该组织活跃了超过五年,使用了极其复杂的恶意软件,并进行了非常有针对性的行动。Slingshot应该是一个有国家背景的团体,而不是常见的以个人利益为重点的网络犯罪。

Slingshot依Windows漏洞,攻击MikroTik路由器

最令卡巴斯基印象深刻的是整个黑客行动的复杂程度。该恶意软件非常复杂,花费了昂贵的时间和金钱进行开发,而且没有引发错误,传播方式也是创新的。

尽管在某些情况下,Slingshot依靠经典的Windows漏洞来感染目标,但最常见的攻击是那些攻击者通过侵入MikroTik路由器传播其payload。

Slingshot组织使用这些路由器作为中转点将其他payload传送到其所需的目标。他们通过Winbox Loader这样做,这是MikroTik开发的一个应用程序,用于帮助Windows用户配置路由器。

此应用程序的工作原理是从路由器本身下载一些DLL,但Slingshot组织将这些文件替换为恶意文件,通过Winbox Loader应用程序配置或重新配置路由器时感染用户。

研究人员称,Slingshot通常会感染两个恶意软件家族,即GollumApp和Cahnadr(被其他安全厂商检测为NDriver)。两种恶意软件一起用于信息收集,持久性和数据传输。

Slingshot APT部署了GollumApp和Cahnadr恶意软件

GollumApp是大型恶意软件,具有近1,500个用于各种操作的代码函数。Cahnadr更高级,因为它作为内核模式程序运行。

卡巴斯基专家表示,Cahnadr显示了该组织的技能水平,因为恶意软件甚至可以感染最新的Windows操作系统,并且没有引发系统崩溃到BSOD。因为大多数内核级别的恶意软件倾向于在某个点或另一个点触发BSOD。

在最新的Windows版本中,Cahnadr通过使用一个非常聪明的技巧来获得内核级别的访问权限。为避免Microsoft的驱动程序签名强制阻止安装未签名的驱动程序,Slingshot组织会安装较旧版本的合法驱动程序。然后,它使用这些较旧的驱动程序中的已知漏洞提升Cahnadr的权限,以便访问内核。

卡巴斯基表示已经通知了MikroTik有关Slingshot的操作模式,MikroTik已经修改了Winbox Loader软件,因此它不会再从本地路由器下载任何内容。

至于溯源,卡巴斯基专家并没有发表任何官方声明,只是说“代码中的文本线索暗示[Slingshot]是以英语为母语的。”

根据目前的证据,Slingshot专注于感染中东和北非的独立个体—不是整个机构。

有关Slingshot的更多详情,请参阅卡巴斯基实验室发布的报告。

本文翻译自:https://www.bleepingcomputer.com/news/security/cyber-espionage-group-infects-victims-through-microtik-routers/ 如若转载,请注明原文地址: http://www.4hou.com/info/news/10670.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

TRex

这个人很懒,什么也没留下

发私信

发表评论