Prak APT

Slingshot APT je název pro vysoce sofistikovanou skupinu hackerů odpovědných za nasazení komplexní hrozby exfiltrace dat. Vzhledem k povaze své činnosti. Výzkumníci z infosec věří, že cílem Slingshot APT je firemní špionáž. Metody používané hackery ukazují, že strávili značnou dobu vytvářením své sady nástrojů pro malware. Činnost skupiny pokračovala od roku 2012 minimálně do roku 2018.

Útočná platforma vytvořená Slingshotem zahrnuje několik fází a několik vektorů kompromisu. Jednou potvrzenou metodou byly routery Mikrotik, které byly upraveny tak, aby zahrnovaly poškozenou komponentu staženou Winbox Loader, legitimní software pro správu používaný pro konfiguraci Mikrotiku. Když uživatel spustí Winbox Loader, připojí se k napadeným směrovačům a stáhne infikované soubory Dynamic LibraryFiles (.DLL) do počítače oběti. Jeden ze souborů .DLL s názvem 'ipv4.dll' funguje jako kapátko pro další moduly malwaru připojením k pevně zakódované IP a portu. Legitimní knihovna Windows 'scesrv.dll' bude nahrazena poškozeným uchazečem, který má přesně stejnou velikost.

Většinu škodlivé činnosti provádějí dva sofistikované moduly pojmenované „Cahnadr“ a „GollumApp“, které pracují v tandemu. 'Cahnadr', také známý jako Ndriver, je modul jádra zodpovědný za nízkoúrovňové síťové rutiny, IO operace atd. Aby Slingshot vložil svůj kód na úroveň jádra, zneužívá legitimní ovladače se známými zranitelnostmi tím, že je načte a spustí svůj kód zranitelnosti (jako CVE-2007-5633, CVE-2010-1592 a CVE-2009-0824). Získání přístupu na tak nízké úrovni systému umožňuje hackerům mít téměř neomezenou kontrolu nad napadenými počítači. Útočníci by mohli snadno obejít jakoukoli ochranu implementovanou obětí. Je třeba poznamenat, že 'Cahnadr' je schopen vykonávat své ohrožující funkce, aniž by došlo k zhroucení systému nebo způsobení modré obrazovky s chybou.

Druhý modul Slingshot – GollumApp, je mnohem složitější a obsahuje více než 1500 uživatelsky definovaných funkcí. Jeho úkolem je nastavení mechanismu perzistence hrozby, manipulace se souborovým systémem na kompromitovaném zařízení a také obsluha komunikace s infrastrukturou Command-and-Control (C2, C&C).

Slingshot shromažďuje značné množství informací z napadených systémů. Malware může získat data klávesnice, síťová data, připojení USB, hesla, uživatelská jména, přistupovat do schránky, pořizovat snímky obrazovky atd. Skutečnost, že Slingshot má přístup na úrovni jádra, znamená, že útočníci mohou potenciálně shromažďovat cokoli, co chtějí, například kredit/ údaje o debetních kartách, čísla sociálního pojištění a hesla. Všechna shromážděná data jsou exfiltrována prostřednictvím standardních síťových kanálů. Malware skrývá svůj abnormální provoz v legitimních zpětných voláních, provádí kontroly všech balíčků Slingshot a vrací pouze filtrovaný normální provoz uživateli a všem potenciálním snifferovým aplikacím, které by mohly být nainstalovány.