Een zeer geavanceerde bedreiging staat cyber spionage via targeting routers is ontdekt door onderzoekers van Kaspersky Lab. Dubbed Slingshot, de malware is gebruikt in kwaadaardige campagnes over de slachtoffers in het Midden-Oosten en Afrika voor meerdere jaren. Kort gezegd, Slingshot is een complex APT (Advanced persistent threat), met “één van de meest complexe frameworks”Zoals door malware analist Alexey Shulmin.
Slingshot APT Technische gegevens
Kaspersky kwam over de malware toen vonden ze een verdacht op zoek keylogger. Ze creëerden een gedrags detectie handtekening te controleren of de code aanwezig is ergens anders. Deze activiteit veroorzaakt detectie van een verdacht bestand in de map systeem dat bekend staat als scesrv.dll. Later bleek dat de scesrv.dll module bevat kwaadaardige code. "Omdat deze bibliotheek wordt geladen door ‘services.exe,’Een proces dat systeemrechten heeft, de vergiftigde bibliotheek kreeg dezelfde rechten. De onderzoekers beseften dat een zeer geavanceerde indringer had zijn weg gevonden naar de kern van de computer,”Kaspersky zei in hun persverklaring.
De onderzoekers onthulde hun bevindingen tijdens de Security Analyst Summit, waar ze zeiden dat ze nog niet eerder hebben gezien zo'n ongewone aanvalsvector. De aanvallers gebruikten gecompromitteerd MikroTik routers om doelen slachtoffers door het plaatsen van een kwaadaardige DLL erin. De DLL is in feite een downloader voor diverse kwaadaardige componenten, aldus de onderzoekers.
Specifieker, "wanneer een beheerder zich bij de router te configureren, management software downloads van de router en loopt de kwaadwillige module op de computer van de beheerder. De methode die wordt gebruikt om de routers te hacken in de eerste plaats blijft onbekend,”Kaspersky Lab onderzoekers onthuld.
Wat gebeurt er na de router is geïnfecteerd? De volgende stap omvat Slingshot downloadt meer malware modules. Twee van hen verdienen meer aandacht vanwege hun zeer geavanceerde karakter – Cahnadr en GollumApp. De twee componenten worden met elkaar verbonden en kunnen elkaar steunen verzamelen voorlichtingsprocedures.
GollumApp name lijkt de meest complexe module Slingshot zijn, gevonden te omvatten 1,500 user code functies en de bedieningsorganen voor persistentie, bestandssysteem controle en command and control servers. De andere module, Cahnadr, is een kernel-mode programma dat servers om kwaadaardige code uit te voeren zonder te crashen het gehele bestand systeem, Kaspersky zei.
Slingshot APT Capabilities
De malware is in staat om uit te voeren stille cyberspionage campagnes waar het stiekem verzamelt data, verbergt verkeer dat gegevenspakketten die zonder getraceerd kan worden onderschept.
Een samenvatting van de mogelijkheden lijkt erop dat:
hoofddoel Slingshot lijkt te cyber-spionage. Analyse suggereert verzamelt afbeeldingen, toetsenborddata, netwerkgegevens, wachtwoorden, USB-aansluitingen, andere desktop activiteit, klembordgegevens en nog veel meer, hoewel de toegang tot kernel betekent dat het kan stelen wat het wil.
Wie is gericht? Blijkbaar, slachtoffers van deze malware zijn het meest waarschijnlijk bepaalde personen. Echter, overheidsorganisaties kunnen ook worden gericht. In termen van de routers die worden beïnvloed door Slingshot - hoewel MikroTik routers werden beïnvloed in de campagnes door de onderzoekers geanalyseerd, andere routers kunnen ook worden gericht.
De verfijnde structuur van de malware spreekt ook boekdelen over wie er achter de campagnes - het meest waarschijnlijk door de staat gesponsorde bedreiging actoren.
MikroTik gebruikers worden aangespoord om te upgraden naar de nieuwste firmware op een infectie met Slingshot vermijden.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: