Kasperksy实验室今天曝露了一个新的网络间谍组织。该组织利用MikroTik路由器感染受害者，研究人员描述该攻击很“独特”。

专家们称该组织为Slingshot，有证据表明他们于2012年开始活动，并且在2018年2月依然活跃。

卡巴斯基专家表示，由于该组织活跃了超过五年，使用了极其复杂的恶意软件，并进行了非常有针对性的行动。Slingshot应该是一个有国家背景的团体，而不是常见的以个人利益为重点的网络犯罪。

Slingshot依赖Windows漏洞，攻击MikroTik路由器

最令卡巴斯基印象深刻的是整个黑客行动的复杂程度。该恶意软件非常复杂，花费了昂贵的时间和金钱进行开发，而且没有引发错误，传播方式也是创新的。

尽管在某些情况下，Slingshot依靠经典的Windows漏洞来感染目标，但最常见的攻击是那些攻击者通过侵入MikroTik路由器传播其payload。

Slingshot组织使用这些路由器作为中转点将其他payload传送到其所需的目标。他们通过Winbox Loader这样做，这是MikroTik开发的一个应用程序，用于帮助Windows用户配置路由器。

此应用程序的工作原理是从路由器本身下载一些DLL，但Slingshot组织将这些文件替换为恶意文件，通过Winbox Loader应用程序配置或重新配置路由器时感染用户。

研究人员称，Slingshot通常会感染两个恶意软件家族，即GollumApp和Cahnadr（被其他安全厂商检测为NDriver）。两种恶意软件一起用于信息收集，持久性和数据传输。

Slingshot APT部署了GollumApp和Cahnadr恶意软件

GollumApp是大型恶意软件，具有近1,500个用于各种操作的代码函数。Cahnadr更高级，因为它作为内核模式程序运行。

卡巴斯基专家表示，Cahnadr显示了该组织的技能水平，因为恶意软件甚至可以感染最新的Windows操作系统，并且没有引发系统崩溃到BSOD。因为大多数内核级别的恶意软件倾向于在某个点或另一个点触发BSOD。

在最新的Windows版本中，Cahnadr通过使用一个非常聪明的技巧来获得内核级别的访问权限。为避免Microsoft的驱动程序签名强制阻止安装未签名的驱动程序，Slingshot组织会安装较旧版本的合法驱动程序。然后，它使用这些较旧的驱动程序中的已知漏洞提升Cahnadr的权限，以便访问内核。

卡巴斯基表示已经通知了MikroTik有关Slingshot的操作模式，MikroTik已经修改了Winbox Loader软件，因此它不会再从本地路由器下载任何内容。

至于溯源，卡巴斯基专家并没有发表任何官方声明，只是说“代码中的文本线索暗示[Slingshot]是以英语为母语的。”

根据目前的证据，Slingshot专注于感染中东和北非的独立个体—不是整个机构。

有关Slingshot的更多详情，请参阅卡巴斯基实验室发布的报告。