Slingshot APT

Slingshot APT е името, дадено на изключително сложна група от хакери, отговорни за внедряването на сложна заплаха за ексфилтриране на данни. Поради естеството на дейността си. Изследователите на infosec смятат, че целта на Slingshot APT е корпоративният шпионаж. Методите, използвани от хакерите, показват, че те са прекарали значително време в изработването на своя инструментариум за зловреден софтуер. Дейността на групата продължи от 2012 г. до поне 2018 г.

Платформата за атака, създадена от Slingshot, включва множество етапи и няколко вектора на компромис. Един потвърден метод беше чрез рутери на Mikrotik, които бяха модифицирани, за да включват повреден компонент, изтеглен от Winbox Loader, легитимен софтуер за управление, използван за конфигурацията на Mikrotik. Когато потребителят стартира Winbox Loader, той се свързва с компрометираните рутери и изтегля заразените Dynamic LibraryFiles (.DLL) на компютъра на жертвата. Един от .DLL файловете с име 'ipv4.dll' действа като капкомер за допълнителни модули за злонамерен софтуер, като се свързва към твърдо кодиран IP и порт. Законната библиотека на Windows 'scesrv.dll' ще бъде заменена с повреден претендент, който има точно същия размер.

По-голямата част от вредната дейност се извършва от два сложни модула, наречени „Cahnadr“ и „GollumApp“, които работят в тандем. 'Cahnadr', известен също като Ndriver, е модул на ядрото, отговорен за мрежови рутинни процедури на ниско ниво, IO операции и т.н. За да вгради своя код на ниво ядро, Slingshot злоупотребява с легитимни драйвери с известни уязвимости, като ги зарежда и изпълнява кода си през уязвимостите (като CVE-2007-5633, CVE-2010-1592 и CVE-2009-0824). Получаването на достъп на такова ниско системно ниво позволява на хакерите да имат почти неограничен контрол над компрометираните компютри. Нападателите могат лесно да заобиколят всички защити, приложени от жертвата. Трябва да се отбележи, че „Cahnadr“ е в състояние да изпълнява своите заплашителни функции, без да срине системата или да предизвика син екран за грешка.

Другият модул Slingshot - GollumApp, е много по-сложен, включващ над 1500 дефинирани от потребителя функции. Той има за задача да настрои механизма за постоянство на заплахата, да манипулира файловата система на компрометираното устройство, както и да управлява комуникацията с инфраструктурата за командване и управление (C2, C&C).

Slingshot събира значително количество информация от компрометираните системи. Зловредният софтуер може да получи данни от клавиатура, мрежови данни, USB връзки, пароли, потребителски имена, достъп до клипборда, да прави екранни снимки и т.н. Фактът, че Slingshot има достъп на ниво ядро, означава, че нападателите могат потенциално да събират всичко, което искат, като например кредит/ данни за дебитна карта, социалноосигурителни номера и пароли. Всички събрани данни се ексфилтрират чрез стандартни мрежови канали. Зловредният софтуер крие своя необичаен трафик в легитимни обратни повиквания, извършвайки проверки за всякакви пакети Slingshot и връщайки само филтрирания нормален трафик на потребителя и всички потенциални приложения за анализиране, които може да бъдат инсталирани.