網路間諜組織通過MikroTik路由器影響受害者

Kasperksy實驗室曝露了一個新的網路間諜組織。該組織利用MikroTik路由器感染受害者，研究人員描述該攻擊很「獨特」。

專家們稱該組織為Slingshot，有證據表明他們於2012年開始活動，並且在2018年2月依然活躍。

卡巴斯基專家表示，由於該組織活躍了超過五年，使用了極其複雜的惡意軟體，並進行了非常有針對性的行動。Slingshot應該是一個有國家背景的團體，而不是常見的以個人利益為重點的網路犯罪。

Slingshot依賴Windows漏洞，攻擊MikroTik路由器

最令卡巴斯基印象深刻的是整個黑客行動的複雜程度。該惡意軟體非常複雜，花費了昂貴的時間和金錢進行開發，而且沒有引發錯誤，傳播方式也是創新的。

儘管在某些情況下，Slingshot依靠經典的Windows漏洞來感染目標，但最常見的攻擊是那些攻擊者通過侵入MikroTik路由器傳播其payload。

Slingshot組織使用這些路由器作為中轉點將其他payload傳送到其所需的目標。他們通過Winbox Loader這樣做，這是MikroTik開發的一個應用程序，用於幫助Windows用戶配置路由器。

此應用程序的工作原理是從路由器本身下載一些DLL，但Slingshot組織將這些文件替換為惡意文件，通過Winbox Loader應用程序配置或重新配置路由器時感染用戶。

研究人員稱，Slingshot通常會感染兩個惡意軟體家族，即GollumApp和Cahnadr（被其他安全廠商檢測為NDriver）。兩種惡意軟體一起用於信息收集，持久性和數據傳輸。

Slingshot APT部署了GollumApp和Cahnadr惡意軟體

GollumApp是大型惡意軟體，具有近1,500個用於各種操作的代碼函數。Cahnadr更高級，因為它作為內核模式程序運行。

卡巴斯基專家表示，Cahnadr顯示了該組織的技能水平，因為惡意軟體甚至可以感染最新的Windows操作系統，並且沒有引發系統崩潰到BSOD。因為大多數內核級別的惡意軟體傾向於在某個點或另一個點觸發BSOD。

在最新的Windows版本中，Cahnadr通過使用一個非常聰明的技巧來獲得內核級別的訪問許可權。為避免Microsoft的驅動程序簽名強制阻止安裝未簽名的驅動程序，Slingshot組織會安裝較舊版本的合法驅動程序。然後，它使用這些較舊的驅動程序中的已知漏洞提升Cahnadr的許可權，以便訪問內核。

卡巴斯基表示已經通知了MikroTik有關Slingshot的操作模式，MikroTik已經修改了Winbox Loader軟體，因此它不會再從本地路由器下載任何內容。

至於溯源，卡巴斯基專家並沒有發表任何官方聲明，只是說「代碼中的文本線索暗示[Slingshot]是以英語為母語的。」

根據目前的證據，Slingshot專註於感染中東和北非的獨立個體—不是整個機構。

有關Slingshot的更多詳情，請參閱卡巴斯基實驗室發布的報告。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！