Nhóm tin tặc APT cài mã độc do thám Slingshot vào bộ định tuyến

By | 9:22 am | 16/03/2018

hacking-group

Các nhà nghiên cứu tại Kaspersky vừa xác định được một nhóm tin tặc APT hoạt động từ năm 2012 mà không hề bị phát hiện nhờ vào các kỹ thuật thông minh và phức tạp của chúng.

Nhóm tin tặc sử dụng một phần của mã độc tiên tiến – Slingshot – để lây nhiễm cho hàng trăm ngàn nạn nhân ở Trung Đông và Châu Phi bằng cách xâm nhập vào bộ định tuyến của họ.

Theo bản báo cáo dài 25 trang của Kaspersky [PDF], nhóm này đã khai thác lỗ hổng chưa biết trong bộ định tuyến được cung cấp bởi Mikrotik (Latvia) – bước đầu trong kế hoạch phát tán spyware vào máy tính nạn nhân.

Mặc dù chưa rõ làm thế nào nhóm tin tặc này có thể khai thác được bộ định tuyến, Kaspersky đang nghi ngờ có liên quan đến khai thác ChimayRed, được công bố trên GitHub.

Khi bộ định tuyến bị xâm nhập, tin tặc thay thế thư viện DLL (dynamic link libraries) bằng một file độc hại, file này sẽ load trực tiếp đến bộ nhớ của máy tính nạn nhân khi nạn nhân sử dụng phần mềm Winbox Loader.

Slingshot-apt-malware

Winbox Loader là một công cụ quản lý được thiết kế bởi Mikrotik cho người dùng Windows. Người dùng có thể dễ dàng cấu hình bộ định tuyến của họ để tải về các file DLL và khởi chạy trên hệ thống.

Khi đó các file DLL độc hại sẽ chạy trên máy nạn nhân và kết nối đến máy chủ từ xa để tải xuống payload tấn công, ví dụ mã độc Slingshot.

Mã độc Slingshot bao gồm hai module – Cahnadr (module chế độ nhân) và GollumApp (module chế độ người dùng), được xây dựng để thu thập thông tin, do thám và lọc dữ liệu.

Module Cahnadr, còn được biết đến như NDriver, quản lý các chức năng chống gỡ rối (anti-debugging), rootkit, nghe lén, lây nhiễm vào các thành phần khác của hệ thống và kết nối mạng – cơ bản là đáp ứng các yêu cầu của module chế độ người dùng.

“[Cahdnadr là một] chương trình chế độ nhân có khả năng thực thi mã độc hại mà không gây ra ngừng hệ thống hoặc màn hình xanh,” Kaspersky chỉ ra trong bài viết.

“Được viết bởi ngôn ngữ C thuần, Cahnadr/NDriver cung cấp toàn bộ quyền truy nhập tới ổ cứng và bộ nhớ, và có khả năng điều khiển rất nhiều thành phần của hệ thống để tránh bị phát hiện bởi các trình gỡ rối.”

GollumApp là một module giả mạo chứa các chức năng do thám, cho phép tin tặc chụp ảnh màn hình, thu thập các thông tin về mạng, mật khẩu được lưu trong trình duyệt, các phím được bấm và duy trì kết nối với máy chủ điều khiển từ xa (C&C server).

Slingshot-malware

Khi GollumApp chạy trong chế độ nhân và có thể bắt đầu tiến trình mới bằng quyền SYSTEM, mã độc cho phép tin tặc có toàn quyền điều khiển hệ thống bị tấn công.

“Slingshot rất phức tạp, và các nhà phát triển đằng sau nó đã dành một khoảng thời gian và tiền bạc lớn để xây dựng nó. Vector lây nhiễm của rất đáng chú ý – và, theo chúng tôi biết, là độc nhất,” – theo các nhà nghiên cứu.

Nạn nhân của Slingshot bao gồm các cá nhân và một số tổ chức chính phủ ở các nước bao gồm Kenya, Yemen, Libya, Afghanistan, Iraq, Tanzania, Jordan, Mauritius, Somalia, Cộng hòa Dân chủ Congo, Turkey, Sudan và các tiểu vương quốc Ả Rập thống nhất.

Theo: thehackernews.com