APT Hackers Infect Routers to Covertly Implant Slingshot Spying Malware


Kaspersky เปิดเผยการโจมตีในรูปแบบ APT ของมัลแวร์ Slingshot โดยใช้ช่องโหว่บนเราเตอร์ของ Mikrotik ในการโจมตี ซึ่งคาดว่าเริ่มมีการแพร่กระจายตั้งแต่ช่วงปี 2012 แต่ไม่มีใครสามารถตรวจจับได้ โดยมีผู้ได้รับผลกระทบกว่าหลายแสนรายในตะวันออกกลางและแอฟริกา

กลุ่มแฮกเกอร์ใช้ส่วนหนึ่งของมัลแวร์ที่เรียกว่า Slingshot เพื่อฝังเข้าไปยังเครื่องของเหยื่อ โดยทาง Kaspersky ค้นพบว่าผู้โจมตีพยายามใช้ประโยชน์จากช่องโหว่บนเราเตอร์ของ Mikrotik ในการแพร่กระจายสปายแวร์ไปยังเครื่องเป้าหมาย โดยทาง Kaspersky ได้พุ่งเป้าไปที่ WikiLeaks Vault 7 CIA Leaks ซึ่งเผยให้เห็นถึงการใช้ ChimayRed ที่มีอยู่ใน GitHub เพื่อเจาะเข้าสู่อุปกรณ์ Mikrotik

เมื่อสามารถเจาะเราเตอร์สำเร็จแฮกเกอร์จะวางไฟล์อันตรายแทนที่ไฟล์ DLL (dynamic link libraries) บนเครื่องของเหยื่อ เมื่อผู้ใช้เรียกใช้งานซอฟต์แวร์ WinBox Loader จะมีการโหลดไฟล์ดังกล่าวลงในหน่วยความจำหลักของเครื่องเป้าหมาย และเชื่อมต่อไปยังเซิร์ฟเวอร์ของแฮกเกอร์จากระยะไกลเพื่อดาวน์โหลดมัลแวร์ที่เป็นอันตราย

Slingshot มัลแวร์จะทำงานโดยอาศัย 2 โมดูลหลักๆ ได้แก่ Cahnadr และ GollumApp

Cahnadr หรือสามารถเรียกอีกชื่อหนึ่งว่า NDriver จะทำหน้าที่ในการหลบเลี่ยงการถูกตรวจจับ, การทำ Rootkit และการดักฟังข้อมูลต่างๆ รวมถึงยังทำการติดตั้งโมดูลอื่นๆ เพิ่มเติมและทำการเชื่อมต่อระบบเครือข่ายได้อีกด้วย

GollumApp จะทำการสอดส่องพฤติกรรมของผู้ใช้งาน, ทำการ Capture หน้าจอ, รวบรวมข้อมูลที่เกี่ยวข้องกับระบบเครือข่าย, รวบรวมรหัสผ่านที่บันทึกเอาไว้ใน Web Browser, บันทึกการพิมพ์ข้อมูลต่างๆ และเชื่อมต่อกับ Command & Control (C&C) Server เพื่อรับคำสั่งใหม่ๆ ในภายหลัง โดย GollumApp นี้ทำงานในระดับ Kernel ทำให้สามารถสร้าง Process ใหม่ๆ ภายใต้สิทธิ์ระดับ SYSTEM ได้ ทำให้ผู้โจมตีเข้ายึดครองเครื่องของเหยื่อได้โดยสมบูรณ์

ที่มา : thehackernews