近日,卡巴斯基实验室研究人员发现了有史以来最先进的恶意软件“Slingshot”,它至少自2012年以来一直在保持活动,在全世界感染了至少100台计算机,隐藏了六年。
影响广泛,中东和非洲数十万受害者!
研究人员追踪了该组织,并确定了其使用的一种恶意软件,即Slingshot,以此来入侵中东和非洲数十万受害者的系统。受感染的计算机主要位于肯尼亚、也门、阿富汗、利比亚、刚果、约旦、土耳其、伊拉克、苏丹、索马里和坦桑尼亚。
肯尼亚和也门迄今为止感染人数最多。大多数受害者是个人而非组织,政府组织数量有限。
APT组利用拉脱维亚网络硬件提供商Mikrotik使用的路由器中的零日漏洞(CVE-2007-5633、CVE-2010-1592、CVE-2009-0824),将恶意软件放入受害者的计算机中。
卡巴斯基实验室的研究人员在发表的报告中写道:“恶意软件非常先进,可从技术角度解决各种问题,并且通常是以一种非常优雅的方式解决。这是有史以来发现的最先进的恶意软件之一,至少自2012年一直在保持活跃,这种长期保持隐藏的能力是使其如此先进的因素之一,同时意味着它可能是由资源充足的国家开发的。”
复杂的系统,Slingshot是如何“隐身”的?
Slingshot隐藏自己的方式之一是使用加密的虚拟文件系统,该系统通常位于硬盘未使用的部分。通过从被感染计算机的文件系统中分离恶意软件文件,从而使自己不被防病毒引擎检测到。其他隐形技术包括加密其各种模块中的所有文本字符串、以及在加载取证工具时关闭组件。
卡巴斯基实验室的分析表明,Slingshot用于记录桌面活动,并收集屏幕截图、键盘数据、网络数据、密码和USB连接数据。Slingshot可访问操作系统内核,这意味着恶意软件可以访问存储在硬盘驱动器或受感染机器内部存储器中的任何数据。
研究人员称:“Slingshot非常复杂,其背后的开发人员花费了大量的时间和成本创建。它的传播力非常显著,据我们所知,它是独一无二的。”
下一篇:工控安全三个基本点