مقلاع APT

Slingshot APT هو الاسم الذي يطلق على مجموعة متطورة للغاية من المتسللين المسؤولين عن نشر تهديد معقد لاستخراج البيانات. نظرا لطبيعة أنشطتها. يعتقد باحثو إنفوسك أن الهدف من Slingshot APT هو تجسس الشركات. تُظهر الأساليب التي يستخدمها المتسللون أنهم أمضوا وقتًا طويلاً في صياغة مجموعة أدوات البرامج الضارة الخاصة بهم. استمرت أنشطة المجموعة من 2012 إلى 2018 على الأقل.

تتضمن منصة الهجوم التي أنشأتها Slingshot عدة مراحل ونواقل عديدة للتسوية. إحدى الطرق المؤكدة كانت من خلال أجهزة توجيه Mikrotik التي تم تعديلها لتشمل مكونًا تالفًا تم تنزيله بواسطة Winbox Loader ، وهو برنامج إدارة شرعي يستخدم لتكوين Mikrotik. عندما يقوم المستخدم بتشغيل Winbox Loader ، فإنه يتصل بأجهزة التوجيه المخترقة ويقوم بتنزيل ملفات المكتبة الديناميكية المصابة (.DLL) على كمبيوتر الضحية. يعمل أحد ملفات .DLL المسمى "ipv4.dll" كقطارة لوحدات البرامج الضارة الإضافية عن طريق الاتصال بمنفذ IP ومنفذ مشفر. سيتم استبدال مكتبة Windows الشرعية "scesrv.dll" بمثيل تالف له نفس الحجم بالضبط.

يتم تنفيذ الجزء الأكبر من النشاط الضار بواسطة وحدتين معقدتين تسمى "Cahnadr" و "GollumApp" تعملان جنبًا إلى جنب. "Cahnadr" ، المعروف أيضًا باسم Ndriver ، هو وحدة نواة مسؤولة عن إجراءات الشبكة منخفضة المستوى وعمليات الإدخال / الإخراج وما إلى ذلك. لتضمين الكود الخاص به على مستوى النواة ، يسيء Slingshot استخدام برامج التشغيل الشرعية ذات الثغرات الأمنية المعروفة عن طريق تحميلها وتشغيل التعليمات البرمجية الخاصة بها من خلال الثغرات الأمنية (مثل CVE-2007-5633 و CVE-2010-1592 و CVE-2009-0824). يتيح الوصول إلى مثل هذا المستوى المنخفض من النظام للمتسللين أن يكون لديهم سيطرة غير محدودة تقريبًا على أجهزة الكمبيوتر المعرضة للخطر. يمكن للمهاجمين تجاوز أي حماية تنفذها الضحية بسهولة. وتجدر الإشارة إلى أن "Cahnadr" قادر على أداء وظائفه التهديدية دون تعطل النظام أو التسبب في شاشة خطأ زرقاء.

وحدة Slingshot الأخرى - GollumApp ، أكثر تعقيدًا بكثير ، بما في ذلك أكثر من 1500 وظيفة محددة من قبل المستخدم. وهي مكلفة بإعداد آلية استمرار التهديد ، والتلاعب بنظام الملفات على الجهاز المخترق ، بالإضافة إلى التعامل مع الاتصال بالبنية التحتية للقيادة والتحكم (C2 ، C&C).

تجمع Slingshot قدرًا كبيرًا من المعلومات من الأنظمة المخترقة. يمكن للبرامج الضارة الحصول على بيانات لوحة المفاتيح ، وبيانات الشبكة ، واتصالات USB ، وكلمات المرور ، وأسماء المستخدمين ، والوصول إلى الحافظة ، والتقاط لقطات شاشة ، وما إلى ذلك ، وتعني حقيقة أن Slingshot لديه وصول على مستوى kernel أنه من المحتمل أن يجمع المهاجمون أي شيء يريدونه ، مثل الائتمان / تفاصيل بطاقة الخصم وأرقام الضمان الاجتماعي وكلمات المرور. يتم إخراج جميع البيانات التي تم جمعها من خلال قنوات الشبكة القياسية. يخفي البرنامج الضار حركة المرور غير الطبيعية الخاصة به في عمليات معاودة الاتصال المشروعة ، ويقوم بإجراء عمليات فحص لأي حزم من حزم Slingshot ، ويعيد فقط حركة المرور العادية التي تمت تصفيتها إلى المستخدم وأي تطبيقات أمنية محتملة قد يتم تثبيتها.