Slingshot APT

Slingshot APT er navnet på en meget sofistikeret gruppe af hackere, der er ansvarlige for implementeringen af en kompleks trussel om dataeksfiltrering. På grund af dens aktiviteter. infosec forskere mener, at målet med Slingshot APT er corporate spionage. Metoderne brugt af hackerne viser, at de har brugt lang tid på at lave deres malware-værktøjssæt. Gruppens aktiviteter er fortsat fra 2012 til mindst 2018.

Angrebsplatformen etableret af Slingshot involverer flere faser og flere kompromisvektorer. En bekræftet metode var gennem Mikrotik-routere, der er blevet ændret til at omfatte en beskadiget komponent, der er downloadet af Winbox Loader, en legitim styringssoftware, der bruges til Mikrotik-konfiguration. Når brugeren kører Winbox Loader, opretter den forbindelse til de kompromitterede routere og downloader inficerede Dynamic LibraryFiles (.DLL) til offerets computer. En af .DLL-filerne med navnet 'ipv4.dll' fungerer som en dropper til yderligere malware-moduler ved at oprette forbindelse til en hardkodet IP og port. Det legitime Windows-bibliotek 'scesrv.dll' erstattes med en beskadiget foregiver, der har nøjagtig samme størrelse.

Hovedparten af den skadelige aktivitet udføres af to sofistikerede moduler ved navn 'Cahnadr' og 'GollumApp', der fungerer sammen. 'Cahnadr', også kendt som Ndriver, er et kernemodul, der er ansvarligt for netværksrutiner på lavt niveau, IO-operationer osv. For at integrere koden på kerneniveau misbruger Slingshot legitime drivere med kendte sårbarheder ved at indlæse dem og køre koden igennem sårbarhederne (såsom CVE-2007-5633, CVE-2010-1592 og CVE-2009-0824). At få adgang på et så lavt systemniveau gør det muligt for hackere at have næsten ubegrænset kontrol over de kompromitterede computere. Angriberne kunne let omgå enhver beskyttelse, der blev implementeret af offeret. Det skal bemærkes, at 'Cahnadr' er i stand til at udføre sine truende funktioner uden at kollidere systemet eller forårsage en blå fejlskærm.

Det andet Slingshot-modul - GollumApp, er langt mere komplekst, inklusive over 1500 brugerdefinerede funktioner. Det har til opgave at opsætte trusselens vedholdenhedsmekanisme, manipulation af filsystemet på den kompromitterede enhed samt håndtere kommunikationen med Command-and-Control (C2, C&C) infrastrukturen.

Slingshot indsamler en betydelig mængde information fra de kompromitterede systemer. Malwaren kan hente tastaturdata, netværksdata, USB-forbindelser, adgangskoder, brugernavne, få adgang til udklipsholderen, tage skærmbilleder osv. Det faktum, at Slingshot har adgang på kerneniveau, betyder, at angriberne potentielt kan indsamle alt, hvad de vil have, såsom kredit / betalingskortoplysninger, personnumre og adgangskoder. Alle de indsamlede data exfiltreres gennem standardnetværkskanaler. Malwaren skjuler sin unormale trafik i legitime tilbagekald, udfører kontrol af eventuelle Slingshot-pakker og returnerer kun den filtrerede normale trafik til brugeren og eventuelle potentielle sniffer-applikationer, der muligvis er installeret.