чтоб дуся не ебала знать Взломав маршрутизатор, злоумышленники заменяют одну из DDL-библиотек вредоносной, загружая ее непосредственно в память компьютера жертвы при запуске программного обеспечения Winbox Loader.
Таким образом, вредоносная DLL-библиотека запускается на целевом компьютере и подключается к удаленному серверу для загрузки конечной полезной нагрузки, а именно вредоносной программы Slingshot.
Вредонос включает в себя два модуля: Cahnadr (модуль режима ядра) и GollumApp (модуль пользовательского режима), предназначенные для сбора информации, сохранении присутствия на системе и хищения данных.
Модуль Cahnadr, также известный как NDriver, имеет функции анти-отладки, руткита и анализа трафика, установки других модулей и пр.
«Написанный на языке программирования C, Canhadr/Ndriver обеспечивает полный доступ к жесткому диску и оперативной памяти, несмотря на ограничения безопасности устройства, и выполняет контроль целостности различных компонентов системы, чтобы избежать обнаружения решениями безопасности», - отметили эксперты.
В свою очередь GollumApp представляет собой сложный модуль, обладающий широким спектром шпионских функций, которые позволяют злоумышленникам делать снимки экрана, собирать информацию о сети, похищать сохраненные в web-браузерах пароли, считывать нажатия клавиш и поддерживать связь с удаленными C&C-серверами.
Поскольку GollumApp работает в режиме ядра и может также запускать новые процессы с привилегиями SYSTEM, вредоносное ПО дает злоумышленникам полный контроль над зараженными системами.
Проанализировав сложные методы, используемые хакерами и список их жертв, исследователи пришли к выводу, что данная группировка является англоязычной и скорее всего связана с правительством какой-либо страны.
Жертвами хакеров стали отдельные лица и ряд правительственных организаций в различных странах, включая Кению, Йемен, Ливию, Афганистан, Ирак, Танзанию, Иорданию, Маврикий, Сомали, Демократическую Республику Конго, Турцию, Судан и Объединенные Арабские Эмираты.
Winbox Loader - инструмент управления, разработанный Mikrotik для пользователей Windows для легкой настройки маршрутизаторов. Программа загружает некоторые DLL-библиотеки с маршрутизатора и исполняет их в системе.
Подробнее:
https://www.securitylab.ru/news/491986.php