Kaspersky Labの研究者は、ルーターを標的としたサイバースパイが可能な高度な脅威を発見しました。. 吹き替えスリングショット, このマルウェアは、中東とアフリカの被害者に対する悪意のあるキャンペーンで数年間使用されています。. すぐに言った, スリングショットは複雑なAPTです (Advanced Persistent Threat), と "最も複雑なフレームワークの1つ」マルウェアアナリストのAlexeyShulminによる説明.
SlingshotAPTの技術的な詳細
Kasperskyは、疑わしいキーロガーを見つけたときにマルウェアに遭遇しました。. 彼らは、コードが他の場所に存在するかどうかを確認するために、動作検出シグネチャを作成しました. このアクティビティは、scesrv.dllと呼ばれるシステムフォルダ内の疑わしいファイルの検出をトリガーしました. その後、scesrv.dllモジュールに悪意のあるコードが含まれていることが判明しました. 「「このライブラリは'services.exeによってロードされるため,'システム権限を持つプロセス, 毒された図書館は同じ権利を得た. 研究者たちは、高度な侵入者がコンピューターの核心に侵入したことに気づきました。,カスペルスキーはプレスステートメントで述べています.
研究者たちは、セキュリティアナリストサミットで調査結果を明らかにしました。そこでは、このような異常な攻撃ベクトルはこれまで見たことがないと述べています。. 攻撃者は、侵害されたMikroTikルーターを使用して、悪意のあるDLLを内部に配置することで被害者を標的にしました。. DLLは、実際にはさまざまな悪意のあるコンポーネントのダウンローダーです, 研究者は言った.
すなわち, 「「管理者がログインしてルータを設定するとき, ルーターの管理ソフトウェアは、管理者のコンピューターに悪意のあるモジュールをダウンロードして実行します. そもそもルーターをハッキングするために使用された方法は不明のままです,」KasperskyLabの研究者は明らかにしました.
ルーターが感染した後に何が起こるか? 次のステップには、Slingshotがさらにマルウェアモジュールをダウンロードすることが含まれます. それらのうちの2つは、その非常に洗練された性質のために、より注目に値します – Cahnadr と GollumApp. 2つのコンポーネントは相互に接続されており、情報の収集手順で相互にサポートできます。.
特にGollumAppは、Slingshotの最も複雑なモジュールのようです。, 包含することがわかった 1,500 ユーザーコード機能と永続性のコントロール, ファイルシステム制御およびコマンドアンドコントロールサーバー. 他のモジュール, Cahnadr, は、ファイルシステム全体をクラッシュさせることなく悪意のあるコードを実行するサーバーを備えたカーネルモードプログラムです。, カスペルスキーは言った.
スリングショットAPT機能
このマルウェアは、データを密かに収集するサイレントサイバースパイキャンペーンを実行できます。, トレースせずに傍受できるデータパケットを使用してトラフィックを非表示にします.
その機能の概要は次のようになります:
スリングショットの主な目的はサイバースパイのようです. 分析によると、スクリーンショットを収集します, キーボードデータ, ネットワークデータ, パスワード, USB接続, その他のデスクトップアクティビティ, クリップボードデータなど, カーネルアクセスは、必要なものを何でも盗むことができることを意味しますが.
対象者? どうやら, このマルウェアの被害者は、おそらく特定の個人です. でも, 政府機関も標的にされる可能性があります. Slingshotの影響を受けるルーターに関しては、MikroTikルーターが研究者によって分析されたキャンペーンで影響を受けたとしても, 他のルーターもターゲットにできます.
マルウェアの洗練された構造は、キャンペーンの背後にいるのは誰か、おそらく国が後援する脅威アクターについても多くを語っています。.
MikroTikユーザーは、Slingshotの感染を防ぐために、最新のファームウェアにアップグレードすることをお勧めします.