卡巴斯基实验室的研究人员在卡巴斯基安全分析峰会上指出,一个讲英语的网络间谍组织一直通过黑进路由器的方式攻击位于中东和非洲的实体。

受害者遍布多个国家 或利用 Vault7 文件

研究人员分析指出,该 APT 组织至少活跃于2012年,其最近发动的攻击是在今年2月份。

研究人员发现,该组织通过 Slingshot 恶意软件感染这些实体,并找到了约100个 Slingshot 的受害者,他们多数位于肯尼亚和也门,但也存在于阿富汗、利比亚、刚果、约旦、土耳其、伊拉克、苏丹、索马里和坦桑尼亚。虽然这起攻击活动主要针对的是个人,但研究人员也发现攻击也针对政府组织机构以及一些联网咖啡店。

Slingshot 因其内部字符串而得名,它通过受攻陷路由器尤其是由拉脱维亚公司Mirkrotik 制造的路由器感染计算机。

目前尚不清楚这些遭攻击的路由器是如何受攻陷的,不过卡巴斯基实验室认为,由美国中情局开发和使用的遭维基解密公布的 Vault7 文件中确实包含一个 Mikotik 利用代码。Mikrotik 声称已修复该漏洞,但目前尚不清楚攻击者所使用的最初向量是什么。

黑客获取对路由器的访问权限后,能滥用Mikrotik 公司提供的管理工具合法软件 WinBox 从路由器中下载一些 DLL 文件并将它们直接加载到计算机内存中。

通过滥用这个功能,Slingshot 黑客能够将恶意软件传播到目标路由器的管理员处。

本质是第一阶段加载器

Slingshot 本质上是一个第一阶段加载器,通过同样大小的恶意版本替换 Windows 中的合法 DLL 文件。这些恶意 DLL 文件是由 services.exe 进程加载的,而这个进程拥有系统权限。

Slingshot 下载的主要模块是 Cahnadr 和 GollumApp。Cahnadr 也被称为 “Ndriver”,是一个内核模式的 payload,而且提供用户模式模块所要求的所有能力,包括反调试、后门功能、向 services.exe 进程注入模块、网络通信以及针对多种协议的嗅探功能。

GollumApp 是主要的用户模式模块,旨在管理其他用户模式模块并同时不间断地和 Cahnadr 进行交互。它含有大量监控功能,允许攻击者抓取截屏、记录按键、收集系统和网络数据、抓获密码、操控剪贴板、以系统权限运行新进程并向具体进程注入其它恶意模块。

由于它能以内核模式和运行(复杂威胁中常见的一种功能),因此这款恶意软件能导致攻击者完全控制受感染设备。

Slingshot 试图通过多种方式躲避检测,包括直接调用系统服务绕过安全产品、在模块中加密字符串并选择性地根据安全产品的情况注入进程。

Slingshot 还在命令和控制服务器通信方面利用了一些狡猾的技术,它将流量隐藏在合法的通信协议中,密切注视包含特殊标记的数据包。

幕后黑手尚不明朗

至于幕后黑手,卡巴斯基认为它具有国家黑客组织的烙印,它的复杂程度可比当前最高阶的组织如 ProjectSauron 和 Regin。

研究人员表示多数调试信息是用非常完美的英语编写的,而且代码字符串中多次引用到了《指环王》中的人物名称。Slingshot 的功能非常罕见且能创造非常可观的利润,这也就解释了它为何能存在至少6年之久的时间。

本文由360代码卫士翻译自SecurityWeek

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。