WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
444 bài viết
Hacker tấn công APT lây nhiễm malware Slingshot qua các router
Một nhóm hacker đã sử dụng phương thức tấn công APT một cách tinh vi từ năm 2012 mà chưa từng bị phát hiện.
Nhóm này sử dụng malware Slingshot để lây nhiễm cho hàng trăm ngàn nạn nhân tại Trung Đông và châu Phi bằng cách hack các router của họ.
Nhóm hacker này đã khai thác một lỗ hổng trong các router từ nhà cung cấp phần cứng mạng Mikrotik của Lavia, bước đầu là bí mật phát tán spyware qua máy tính nạn nhân.
Dù chưa rõ nhóm hacker này làm cách nào để xâm chiếm các routers nhưng các nhà nghiên cứu hướng đến vụ rò rỉ dữ liệu Vault 7 của CIA, làm lộ mã khai thác ChimayRed, gây ảnh hưởng đến các router Mikrotik.
Một khi router này bị xâm chiếm, kẻ tấn công sẽ thay một trong file DDL (thư viện liên kết động) của mình bằng một mã độc từ file trên hệ thống, tải trực tiếp vào bộ nhớ máy tính của nạn nhân khi người dùng chạy phần mềm Winbox Loader.
Winbox Loader là một công cụ quản lý hợp pháp do Mikrotik thiết kế cho người dùng Windows dễ dàng cấu hình các router của họ để tải các file DLL từ router và thực thi chúng trên hệ thống.
Bằng cách này, mã độc có trong file DLL sẽ chạy trên máy tính mục tiêu, kết nối đến một máy chủ từ xa để tải về payload, chẳng hạn như malware Slingshot.
Malware Slingshot bao gồm 2 module – Cahnadr (kernel mode) và GollumApp (user mode), được thiết kế để thu thập, lưu thông tin và lọc dữ liệu.
Cahnadr hay aka NDriver phụ trách chống debugging (gỡ lỗi), rootkit và chức năng sniffing (phòng chống các kiểu tấn công), lây nhiễm các module khác, giao tiếp mạng được yêu cầu theo chế độ người dùng.
Trong khi đó GollumApp là module tinh vi nhất có chức năng thực hiện hành vi gián điệp trong phạm vi rộng, cho phép kẻ tấn công chụp ảnh màn hình, thu thập các thông tin liên quan trong mạng, mật khẩu được lưu trên trình duyệt web, phím bấm, duy trì giao tiếp với các máy chủ C&C từ xa.
Khi GollumApp chạy chế độ kernel và có thể chạy các tiến trình mới với đặc quyền SYSTEM, malware sẽ trao toàn quyền kiểm soát của hệ thống bị lây nhiễm cho hacker.
Nạn nhân phần lớn là các cá nhân và tổ chức chính phủ của nhiều quốc gia khác nhau như Kenya, Yemen, Libya, Afghanistan, Iraq, Tanzania, Jordan, Mauritius, Somalia, Cộng hoà Congo, Thổ Nhĩ Kỹ, Sudan và UAE.
Hiện các nhà nghiên cứu vẫn chưa xác định được nguồn gốc của nhóm hacker này, chỉ biết được nhóm nói tiếng Anh khá tốt và do nhà nước tài trợ.
Theo The Hacker News
Nhóm hacker này đã khai thác một lỗ hổng trong các router từ nhà cung cấp phần cứng mạng Mikrotik của Lavia, bước đầu là bí mật phát tán spyware qua máy tính nạn nhân.
Dù chưa rõ nhóm hacker này làm cách nào để xâm chiếm các routers nhưng các nhà nghiên cứu hướng đến vụ rò rỉ dữ liệu Vault 7 của CIA, làm lộ mã khai thác ChimayRed, gây ảnh hưởng đến các router Mikrotik.
Một khi router này bị xâm chiếm, kẻ tấn công sẽ thay một trong file DDL (thư viện liên kết động) của mình bằng một mã độc từ file trên hệ thống, tải trực tiếp vào bộ nhớ máy tính của nạn nhân khi người dùng chạy phần mềm Winbox Loader.
Winbox Loader là một công cụ quản lý hợp pháp do Mikrotik thiết kế cho người dùng Windows dễ dàng cấu hình các router của họ để tải các file DLL từ router và thực thi chúng trên hệ thống.
Bằng cách này, mã độc có trong file DLL sẽ chạy trên máy tính mục tiêu, kết nối đến một máy chủ từ xa để tải về payload, chẳng hạn như malware Slingshot.
Malware Slingshot bao gồm 2 module – Cahnadr (kernel mode) và GollumApp (user mode), được thiết kế để thu thập, lưu thông tin và lọc dữ liệu.
Cahnadr hay aka NDriver phụ trách chống debugging (gỡ lỗi), rootkit và chức năng sniffing (phòng chống các kiểu tấn công), lây nhiễm các module khác, giao tiếp mạng được yêu cầu theo chế độ người dùng.
Trong khi đó GollumApp là module tinh vi nhất có chức năng thực hiện hành vi gián điệp trong phạm vi rộng, cho phép kẻ tấn công chụp ảnh màn hình, thu thập các thông tin liên quan trong mạng, mật khẩu được lưu trên trình duyệt web, phím bấm, duy trì giao tiếp với các máy chủ C&C từ xa.
Khi GollumApp chạy chế độ kernel và có thể chạy các tiến trình mới với đặc quyền SYSTEM, malware sẽ trao toàn quyền kiểm soát của hệ thống bị lây nhiễm cho hacker.
Nạn nhân phần lớn là các cá nhân và tổ chức chính phủ của nhiều quốc gia khác nhau như Kenya, Yemen, Libya, Afghanistan, Iraq, Tanzania, Jordan, Mauritius, Somalia, Cộng hoà Congo, Thổ Nhĩ Kỹ, Sudan và UAE.
Hiện các nhà nghiên cứu vẫn chưa xác định được nguồn gốc của nhóm hacker này, chỉ biết được nhóm nói tiếng Anh khá tốt và do nhà nước tài trợ.
Theo The Hacker News