- Joined
- Jun 1, 2014
- Messages
- 284
- Reaction score
- 263
- Points
- 63
Hackers infect routers with Slingshot spyware
Malicious software gives attackers complete control over infected systems.
Security researchers at Kaspersky Lab * a dangerous hacker group that has been quietly working since at least 2012. Hackers used Slingshot sophisticated malware to infect hundreds of thousands of routers in the Middle East and Africa.
According to an expert report, the group exploits unknown vulnerabilities in routers from the Latvian network equipment provider Mikrotik, covertly installing its spyware on victims' computers.
It is unclear exactly how the hackers were able to compromise the routers, however, researchers pointed to a leaked US CIA exploit ChimayRed published by WikiLeaks as part of the Vault 7 project.
Having cracked the router, the attackers replace one of the DDL libraries with a malicious one, loading it directly into the memory of the victim’s computer when the Winbox Loader software is launched.
Thus, the malicious DLL is launched on the target computer and connects to the remote server to download the final payload, namely the Slingshot malware.
The malware includes two modules: Cahnadr (kernel mode module) and GollumApp (user mode module), designed to collect information, preserve presence on the system and steal data.
The Cahnadr module, also known as NDriver, has the functions of anti-debugging, rootkit and traffic analysis, installation of other modules, etc.
“Written in the C programming language, Canhadr / Ndriver provides full access to the hard drive and RAM, despite the device’s security limitations, and performs integrity checks on various components of the system to avoid detection by security solutions,” the experts noted.
In turn, GollumApp is a sophisticated module with a wide range of spyware functions that allow attackers to take screenshots, collect network information, steal passwords stored in web browsers, read keystrokes, and communicate with remote C & C servers.
Since GollumApp runs in kernel mode and can also start new processes with SYSTEM privileges, malware gives attackers complete control over infected systems.
After analyzing the complex methods used by hackers and the list of their victims, the researchers came to the conclusion that this group is English-speaking and most likely connected with the government of any country.
The victims of the hackers were individuals and a number of government organizations in various countries, including Kenya, Yemen, Libya, Afghanistan, Iraq, Tanzania, Jordan, Mauritius, Somalia, the Democratic Republic of the Congo, Turkey, Sudan and the United Arab Emirates.
Winbox Loader is a management tool developed by Mikrotik for Windows users to easily configure routers. The program downloads some DLLs from the router and executes them in the system.
* See attached file
[DLMURL="https://anonym.to?https://www.securitylab.ru/news/491986.php"] Source [/ DLMURL]
Malicious software gives attackers complete control over infected systems.
Security researchers at Kaspersky Lab * a dangerous hacker group that has been quietly working since at least 2012. Hackers used Slingshot sophisticated malware to infect hundreds of thousands of routers in the Middle East and Africa.
According to an expert report, the group exploits unknown vulnerabilities in routers from the Latvian network equipment provider Mikrotik, covertly installing its spyware on victims' computers.
It is unclear exactly how the hackers were able to compromise the routers, however, researchers pointed to a leaked US CIA exploit ChimayRed published by WikiLeaks as part of the Vault 7 project.
Having cracked the router, the attackers replace one of the DDL libraries with a malicious one, loading it directly into the memory of the victim’s computer when the Winbox Loader software is launched.
Thus, the malicious DLL is launched on the target computer and connects to the remote server to download the final payload, namely the Slingshot malware.
The malware includes two modules: Cahnadr (kernel mode module) and GollumApp (user mode module), designed to collect information, preserve presence on the system and steal data.
The Cahnadr module, also known as NDriver, has the functions of anti-debugging, rootkit and traffic analysis, installation of other modules, etc.
“Written in the C programming language, Canhadr / Ndriver provides full access to the hard drive and RAM, despite the device’s security limitations, and performs integrity checks on various components of the system to avoid detection by security solutions,” the experts noted.
In turn, GollumApp is a sophisticated module with a wide range of spyware functions that allow attackers to take screenshots, collect network information, steal passwords stored in web browsers, read keystrokes, and communicate with remote C & C servers.
Since GollumApp runs in kernel mode and can also start new processes with SYSTEM privileges, malware gives attackers complete control over infected systems.
After analyzing the complex methods used by hackers and the list of their victims, the researchers came to the conclusion that this group is English-speaking and most likely connected with the government of any country.
The victims of the hackers were individuals and a number of government organizations in various countries, including Kenya, Yemen, Libya, Afghanistan, Iraq, Tanzania, Jordan, Mauritius, Somalia, the Democratic Republic of the Congo, Turkey, Sudan and the United Arab Emirates.
Winbox Loader is a management tool developed by Mikrotik for Windows users to easily configure routers. The program downloads some DLLs from the router and executes them in the system.
* See attached file
[DLMURL="https://anonym.to?https://www.securitylab.ru/news/491986.php"] Source [/ DLMURL]
Attachments
Original message
Хакеры заражают маршрутизаторы шпионским ПО Slingshot
Вредоносное ПО дает злоумышленникам полный контроль над зараженными системами.
Исследователи безопасности из «Лаборатории Касперского» выявили* опасную хакерскую группировку, незаметно работающую по меньшей мере с 2012 года. Хакеры использовали сложное вредоносное ПО Slingshot для заражения сотен тысяч маршрутизаторов на Ближнем Востоке и в Африке.
Согласно отчету экспертов, группировка эксплуатирует неизвестные уязвимости в маршрутизаторах от латвийского поставщика сетевого оборудования Mikrotik, скрытно устанавливая свое шпионское ПО на компьютеры жертв.
До конца неясно, как именно хакерам удалось скомпрометировать маршрутизаторы, однако исследователи указали на утекший эксплоит ЦРУ США ChimayRed, опубликованный WikiLeaks в рамках проекта Vault 7.
Взломав маршрутизатор, злоумышленники заменяют одну из DDL-библиотек вредоносной, загружая ее непосредственно в память компьютера жертвы при запуске программного обеспечения Winbox Loader.
Таким образом, вредоносная DLL-библиотека запускается на целевом компьютере и подключается к удаленному серверу для загрузки конечной полезной нагрузки, а именно вредоносной программы Slingshot.
Вредонос включает в себя два модуля: Cahnadr (модуль режима ядра) и GollumApp (модуль пользовательского режима), предназначенные для сбора информации, сохранении присутствия на системе и хищения данных.
Модуль Cahnadr, также известный как NDriver, имеет функции анти-отладки, руткита и анализа трафика, установки других модулей и пр.
«Написанный на языке программирования C, Canhadr/Ndriver обеспечивает полный доступ к жесткому диску и оперативной памяти, несмотря на ограничения безопасности устройства, и выполняет контроль целостности различных компонентов системы, чтобы избежать обнаружения решениями безопасности», - отметили эксперты.
В свою очередь GollumApp представляет собой сложный модуль, обладающий широким спектром шпионских функций, которые позволяют злоумышленникам делать снимки экрана, собирать информацию о сети, похищать сохраненные в web-браузерах пароли, считывать нажатия клавиш и поддерживать связь с удаленными C&C-серверами.
Поскольку GollumApp работает в режиме ядра и может также запускать новые процессы с привилегиями SYSTEM, вредоносное ПО дает злоумышленникам полный контроль над зараженными системами.
Проанализировав сложные методы, используемые хакерами и список их жертв, исследователи пришли к выводу, что данная группировка является англоязычной и скорее всего связана с правительством какой-либо страны.
Жертвами хакеров стали отдельные лица и ряд правительственных организаций в различных странах, включая Кению, Йемен, Ливию, Афганистан, Ирак, Танзанию, Иорданию, Маврикий, Сомали, Демократическую Республику Конго, Турцию, Судан и Объединенные Арабские Эмираты.
Winbox Loader - инструмент управления, разработанный Mikrotik для пользователей Windows для легкой настройки маршрутизаторов. Программа загружает некоторые DLL-библиотеки с маршрутизатора и исполняет их в системе.
*Смотри прилагаемый файл
[DLMURL="https://anonym.to?https://www.securitylab.ru/news/491986.php"]Источник[/DLMURL]
Вредоносное ПО дает злоумышленникам полный контроль над зараженными системами.
Исследователи безопасности из «Лаборатории Касперского» выявили* опасную хакерскую группировку, незаметно работающую по меньшей мере с 2012 года. Хакеры использовали сложное вредоносное ПО Slingshot для заражения сотен тысяч маршрутизаторов на Ближнем Востоке и в Африке.
Согласно отчету экспертов, группировка эксплуатирует неизвестные уязвимости в маршрутизаторах от латвийского поставщика сетевого оборудования Mikrotik, скрытно устанавливая свое шпионское ПО на компьютеры жертв.
До конца неясно, как именно хакерам удалось скомпрометировать маршрутизаторы, однако исследователи указали на утекший эксплоит ЦРУ США ChimayRed, опубликованный WikiLeaks в рамках проекта Vault 7.
Взломав маршрутизатор, злоумышленники заменяют одну из DDL-библиотек вредоносной, загружая ее непосредственно в память компьютера жертвы при запуске программного обеспечения Winbox Loader.
Таким образом, вредоносная DLL-библиотека запускается на целевом компьютере и подключается к удаленному серверу для загрузки конечной полезной нагрузки, а именно вредоносной программы Slingshot.
Вредонос включает в себя два модуля: Cahnadr (модуль режима ядра) и GollumApp (модуль пользовательского режима), предназначенные для сбора информации, сохранении присутствия на системе и хищения данных.
Модуль Cahnadr, также известный как NDriver, имеет функции анти-отладки, руткита и анализа трафика, установки других модулей и пр.
«Написанный на языке программирования C, Canhadr/Ndriver обеспечивает полный доступ к жесткому диску и оперативной памяти, несмотря на ограничения безопасности устройства, и выполняет контроль целостности различных компонентов системы, чтобы избежать обнаружения решениями безопасности», - отметили эксперты.
В свою очередь GollumApp представляет собой сложный модуль, обладающий широким спектром шпионских функций, которые позволяют злоумышленникам делать снимки экрана, собирать информацию о сети, похищать сохраненные в web-браузерах пароли, считывать нажатия клавиш и поддерживать связь с удаленными C&C-серверами.
Поскольку GollumApp работает в режиме ядра и может также запускать новые процессы с привилегиями SYSTEM, вредоносное ПО дает злоумышленникам полный контроль над зараженными системами.
Проанализировав сложные методы, используемые хакерами и список их жертв, исследователи пришли к выводу, что данная группировка является англоязычной и скорее всего связана с правительством какой-либо страны.
Жертвами хакеров стали отдельные лица и ряд правительственных организаций в различных странах, включая Кению, Йемен, Ливию, Афганистан, Ирак, Танзанию, Иорданию, Маврикий, Сомали, Демократическую Республику Конго, Турцию, Судан и Объединенные Арабские Эмираты.
Winbox Loader - инструмент управления, разработанный Mikrotik для пользователей Windows для легкой настройки маршрутизаторов. Программа загружает некоторые DLL-библиотеки с маршрутизатора и исполняет их в системе.
*Смотри прилагаемый файл
[DLMURL="https://anonym.to?https://www.securitylab.ru/news/491986.php"]Источник[/DLMURL]