14-03-2018, 07:33
<r>Utilisé depuis 2012 pour <B><s></s>voler des données gouvernentales et d'individus<e></e></B> dans des pays en guerre ou politiquement instables au Moyen-Orient et en Afrique, le logiciel malveillant Slingshot est toujours actif. Au moins une centaine de victimes ont été touchées par ce malware spécialisé dans le cyber-espionnage.<br/>
<br/>
Les pays concernés sont sois confrontés à la guerre, au terrorisme ou à l'instabilité politique, voir même aux trois en même temps..<br/>
Les chercheurs de Kaspersky ont trouvé que les attaquants ont visé chez leurs victimes les routeurs du fabricant Mikrokit . Le chargeur malveillant utilisé par les pirates remplace la librairie Windows scesrv.dll, avec une autre exactement de même taille, explique Kaspersky. En plus de cela, il interagit avec d'autres modules, incluant un chargeur Ring0, un analyseur réseau (ARP, TCP, UDP, DNS, ICMP et HTTP), un fichier système virtuel... <br/>
<br/>
Slingshot éxecute également <B><s></s>Cahnadr<e></e></B> qui a des <B><s></s>fonctions anti-debug et anti-rootkits, surveillance des terminaux, cache de trafic<e></e></B>. De plus les pirates utilisent <B><s></s>GollumAPP<e></e></B> qui permet de<B><s></s> rassembler un grand nombre de données <e></e></B>: mdp ,patterns de disque durs, etc. <br/>
<br/>
Au final, on comprends bien que c'est un outillage de cyber-espionnage parfait permettant d'exfiltrer en toute discrétion des informations, GollumApp les envoyant sur un serveur détenu par un pirate de façon chiffrée et Cahnadr se chargeant lui de camoufler cette communication pour la rendre invisible à l'utilisateur.</r>
<br/>
Les pays concernés sont sois confrontés à la guerre, au terrorisme ou à l'instabilité politique, voir même aux trois en même temps..<br/>
Les chercheurs de Kaspersky ont trouvé que les attaquants ont visé chez leurs victimes les routeurs du fabricant Mikrokit . Le chargeur malveillant utilisé par les pirates remplace la librairie Windows scesrv.dll, avec une autre exactement de même taille, explique Kaspersky. En plus de cela, il interagit avec d'autres modules, incluant un chargeur Ring0, un analyseur réseau (ARP, TCP, UDP, DNS, ICMP et HTTP), un fichier système virtuel... <br/>
<br/>
Slingshot éxecute également <B><s></s>Cahnadr<e></e></B> qui a des <B><s></s>fonctions anti-debug et anti-rootkits, surveillance des terminaux, cache de trafic<e></e></B>. De plus les pirates utilisent <B><s></s>GollumAPP<e></e></B> qui permet de<B><s></s> rassembler un grand nombre de données <e></e></B>: mdp ,patterns de disque durs, etc. <br/>
<br/>
Au final, on comprends bien que c'est un outillage de cyber-espionnage parfait permettant d'exfiltrer en toute discrétion des informations, GollumApp les envoyant sur un serveur détenu par un pirate de façon chiffrée et Cahnadr se chargeant lui de camoufler cette communication pour la rendre invisible à l'utilisateur.</r>
<t></t>
![[-]](https://www.tisi-fr.com/board/images/collapse.png)
