导语:Kasperksy实验室曝露了一个新的网络间谍组织,该组织利用MikroTik路由器传播Slingshot间谍软件感染受害者。
Kasperksy实验室今天曝露了一个新的网络间谍组织。该组织利用MikroTik路由器感染受害者,研究人员描述该攻击很“独特”。
专家们称该组织为Slingshot,有证据表明他们于2012年开始活动,并且在2018年2月依然活跃。
卡巴斯基专家表示,由于该组织活跃了超过五年,使用了极其复杂的恶意软件,并进行了非常有针对性的行动。Slingshot应该是一个有国家背景的团体,而不是常见的以个人利益为重点的网络犯罪。
Slingshot依赖Windows漏洞,攻击MikroTik路由器
最令卡巴斯基印象深刻的是整个黑客行动的复杂程度。该恶意软件非常复杂,花费了昂贵的时间和金钱进行开发,而且没有引发错误,传播方式也是创新的。
尽管在某些情况下,Slingshot依靠经典的Windows漏洞来感染目标,但最常见的攻击是那些攻击者通过侵入MikroTik路由器传播其payload。
Slingshot组织使用这些路由器作为中转点将其他payload传送到其所需的目标。他们通过Winbox Loader这样做,这是MikroTik开发的一个应用程序,用于帮助Windows用户配置路由器。
此应用程序的工作原理是从路由器本身下载一些DLL,但Slingshot组织将这些文件替换为恶意文件,通过Winbox Loader应用程序配置或重新配置路由器时感染用户。
研究人员称,Slingshot通常会感染两个恶意软件家族,即GollumApp和Cahnadr(被其他安全厂商检测为NDriver)。两种恶意软件一起用于信息收集,持久性和数据传输。
Slingshot APT部署了GollumApp和Cahnadr恶意软件
GollumApp是大型恶意软件,具有近1,500个用于各种操作的代码函数。Cahnadr更高级,因为它作为内核模式程序运行。
卡巴斯基专家表示,Cahnadr显示了该组织的技能水平,因为恶意软件甚至可以感染最新的Windows操作系统,并且没有引发系统崩溃到BSOD。因为大多数内核级别的恶意软件倾向于在某个点或另一个点触发BSOD。
在最新的Windows版本中,Cahnadr通过使用一个非常聪明的技巧来获得内核级别的访问权限。为避免Microsoft的驱动程序签名强制阻止安装未签名的驱动程序,Slingshot组织会安装较旧版本的合法驱动程序。然后,它使用这些较旧的驱动程序中的已知漏洞提升Cahnadr的权限,以便访问内核。
卡巴斯基表示已经通知了MikroTik有关Slingshot的操作模式,MikroTik已经修改了Winbox Loader软件,因此它不会再从本地路由器下载任何内容。
至于溯源,卡巴斯基专家并没有发表任何官方声明,只是说“代码中的文本线索暗示[Slingshot]是以英语为母语的。”
根据目前的证据,Slingshot专注于感染中东和北非的独立个体—不是整个机构。
有关Slingshot的更多详情,请参阅卡巴斯基实验室发布的报告。