メモ

コンピューターセキュリティー会社のKasperskyは、キーロガーの疑いがある事例を分析している中で、仮想ファイルシステムに介入するマルウェア「Slingshot」を特定したと発表しました。Kasperskyによると、Slingshotはなんとルーターを感染経路として、2018年に特定されるまで少なくとも6年間、100台以上のPCへ感染していたことが分かっています。SlingshotはProject SauronやReginにも匹敵するほど複雑で洗練された攻撃プラットフォームとのことで、中東からアフリカを中心に被害が報告されています。

Slingshot: Riding on a hardware Trojan horse – Kaspersky Lab official blog
https://www.kaspersky.com/blog/web-sas-2018-apt-announcement-2/21514/

The Slingshot APT FAQ - Securelist
https://securelist.com/apt-slingshot/84312/

(PDFファイル)The Slingshot APT Version: 1.0 (06.March.2018)
https://s3-eu-west-1.amazonaws.com/khub-media/wp-content/uploads/sites/43/2018/03/09133534/The-Slingshot-APT_report_ENG_final.pdf

Slingshotは、ラトビアのネットワーク製品メーカーMikroTik製のルーターにある未知の脆弱(ぜいじゃく)性を利用していたことが判明しています。ルーターは通常の業務を行う中で、さまざまなDLLファイルをダウンロードして実行します。ハッキンググループは正当なDLLファイルの中の1つを、ファイルサイズはぴったり同じなままで悪意のあるDLLに書き替えてしまうことで、Slingshotをルーターに潜ませたことが分かっています。ただし、「一番最初にルーターへ悪意のあるDLLをどうやって潜ませることができたのか？」はまだ分かっていないとのこと。

6年以上もこっそりとルーターを介して拡散していたマルウェア「Slingshot」が特定される - GIGAZINE