Slingshot – APT wykorzystujące skompromitowane rutery MikroTik

Specjaliści z Kaspersky Lab poinformowali o wykrytych atakach wykorzystujących nowe APT, nazwane Slingshot. Wykorzystuje ono skompromitowane rutery MikroTik, na których umieszczone są szkodliwe biblioteki DLL. Następnie, za pomocą programu Winbox Loader biblioteki wgrywane są do systemu Windows. Do kompromitacji ruterów używane są najprawdopodobniej narzędzia NSA, upublicznione przez WikiLeaks. Dzięki wgraniu szkodliwych DLL przestępcy uzyskują dostęp do systemu z uprawnieniami SYSTEM. Wgrywają jeden z dwóch groźnych programów: GollumApp lub Cahnadr, a następnie prowadzą ciągłą inwigilację użytkownika. Kaspersky podał, że ataki zostały zaobserwowane w kilku krajach afrykańskich i Bliskiego Wschodu, a ofiarami były przeważnie osoby prywatne. Zaleca się aktualizację sterowników MikroTik do najnowszych wersji.

Skrócona informacja KL: https://securelist.com/apt-slingshot/84312/

Pełna analiza (PDF): https://s3-eu-west-1.amazonaws.com/khub-media/wp-content/uploads/sites/43/2018/03/09133534/The-Slingshot-APT_report_ENG_final.pdf

Informacje w mediach:

https://www.bleepingcomputer.com/news/security/cyber-espionage-group-infects-victims-through-microtik-routers/
https://thehackernews.com/2018/03/slingshot-router-hacking.html
https://threatpost.com/cyber-espionage-campaign-slingshot-targets-victims-via-routers/130348/