Slingshot، بدافزار پیشرفتهای که پس از 6 سال کشف شد
Securelist (آزمایشگاهی متعلق به Kaspersky) اخیرا نوعی خانواده بدافزار بسیار پیشرفته را شناسایی کرد که به مدت 6 سال مخفی مانده بود.
Securelist (آزمایشگاهی متعلق به Kaspersky) اخیرا نوعی خانواده بدافزار بسیار پیشرفته را شناسایی کرد که به مدت 6 سال مخفی مانده بود. |
محققان آزمایشگاه Securelist این APT (تهدید پیشرفته پایدار) را Slingshot نام گذاشته اند. به نظر میرسد این ویروس اولین بار در سال 2012 راهاندازی شده و در زمان کشف هنوز فعال بوده است. این آزمایشگاه تنها تا100 از اهداف Slingshot را کشف کرده که اشخاص، آژانسهای دولتی و سازمانها را شامل میشوند. بیشتر قربانیان از کشورهای کنیا، یمن، لیبی و افغانستان بوده اند. |
این بدافزار برای انتشار خود از مسیریابهای قربانی شده میکروتیک از طریق برنامه Winbox Loader استفاده میکند. برنامه Winbox Loader، روی یک کامپیوتر نصب میشود و برای پیکربندی مسیریابهای میکروتیک به کار میرود. در حالت عادی این برنامه تعدادی فایل را از روی مسیریاب به کامپیوتر دانلود میکند. یکی از این فایلها وقتی دانلود شود، باعث دانلود فایلهای بدخواه دیگری به کامپیوتر میشوند. |
این بدافزار دارای قابلیت جمعآوری اطلاعات شبکه، جمعآوری گذرواژههای ذخیره شده در فایرواکس و اینترنت اکسپلورر، عملکرد به عنوان کیلاگر، جمعآوری اطلاعات در مورد پارتیشنها و دستگاههای USB، فرستادن اعلان در هنگام اتصال دستگاههای جدید و تزریق ماژول ScSB به فرایندهای در حال اجرا است. ماژول ScSB قادر به گرفتن تصویر از صفحه نمایش و جمعآوری اطلاعات درباره پنجرهها و اطلاعات جغرافیایی سیستم است. |
Securelist گروه خاصی را به عنوان توسعهدهنده این تهدید معرفی نکرده است، اما اظهار داشته است که این گروه احتمالا بسیار سازمان یافته و حرفهای است و ممکن است پشتوانه دولتی داشته باشد. |
به گفته یکی از نمایندگان میکروتیک مشخص نیست این ویروس چگونه به مسیریابهای این برند راه یافته است، اما احتمالا از یک آسیبپذیری استفاده کرده اند که در مارچ 2017 اصلاح شده است و پس از آن نیز میکروتیک امنیت RouterOS را دائما ارتقاء داده است. توجه کنید که دیوار آتش دستگاههای آلوده شده غیرفعال بوده است. توصیه میشود دستگاههای خود را به روز نگه داشته و از دیوار آتش استفاده کنید تا IPهای غیرمجاز به مسیریاب شما دسترسی پیدا نکنند.
|
|