APT黑客感染路由器，秘密植入弹弓间谍恶意软件

黑客组织使用了一种先进的恶意软件，配音弹弓，通过入侵他们的路由器来感染中东和非洲成千上万的受害者。

根据卡巴斯基实验室（Kaspersky Labs）发布的一份25页的报告[PDF]，该组织利用拉脱维亚网络硬件供应商Mikrotik的路由器中的未知漏洞作为其第一阶段感染媒介，以便将其间谍软件秘密植入受害者的计算机。
虽然目前尚不清楚该组织最初是如何设法破坏路由器的，但卡巴斯基指出，维基解密7号库是中央情报局泄密处，泄露了秘密奇梅雷德剥削，现在可在GitHub上使用，以破坏Mikrotik路由器。

一旦路由器遭到破坏，攻击者就会将其DDL（动态链接库）文件替换为来自文件系统的恶意文件，当用户运行Winbox Loader软件时，该文件会直接加载到受害者的计算机内存中。
Winbox Loader是Mikrotik设计的合法管理工具，Windows用户可以轻松配置路由器，从路由器下载一些DLL文件并在系统上执行。

通过这种方式，恶意DLL文件在目标计算机上运行，并连接到远程服务器以下载最终有效负载，即Slingshot恶意软件。

Slingshot malware includes two modules，卡那德（内核模式模块）和GollumApp（用户模式模块），用于信息收集、持久化和数据过滤。
Cahnadr模块又名NDriver，负责反调试、rootkit和嗅探功能、注入其他模块、网络通信和#8212，基本上是用户模式模块所需的所有功能。

“Cahnadr是一个内核模式的程序，能够在不破坏整个文件系统或造成蓝屏的情况下执行恶意代码，这是一个了不起的成就，”卡巴斯基在今天发表的博客文章中说。

“Canhadr/Ndriver是用纯C语言编写的，尽管存在设备安全限制，但它可以完全访问硬盘和操作内存，并对各种系统组件进行完整性控制，以避免调试和安全检测”。

而GollumApp是最复杂的模块，具有广泛的间谍功能，允许攻击者捕获屏幕截图、收集网络相关信息、保存在web浏览器中的密码、所有按键，并与远程命令和控制服务器保持通信。
由于GollumApp以内核模式运行，也可以以系统权限运行新进程，因此恶意软件使攻击者能够完全控制受感染的系统。

尽管卡巴斯基没有将该组织归咎于任何国家，但基于其使用的巧妙技术和有限的目标，该安全公司得出结论，它肯定是一个技能高超、讲英语的国家支持的黑客组织。

研究人员说：“弹弓非常复杂，它背后的开发人员显然在它的创建上花费了大量的时间和金钱。它的感染媒介是非凡的，而且据我们所知，它是独一无二的”。

受害者大多包括肯尼亚、也门、利比亚、阿富汗、伊拉克、坦桑尼亚、约旦、毛里求斯、索马里、刚果民主共和国、土耳其、苏丹和阿拉伯联合酋长国等国家的个人和一些政府组织。