Slingshot APT
Slingshot APT نامی است که به یک گروه بسیار پیچیده از هکرها که مسئول استقرار یک تهدید پیچیده استخراج اطلاعات هستند داده شده است. با توجه به ماهیت فعالیت های آن. محققان infosec معتقدند که هدف Slingshot APT جاسوسی شرکتی است. روشهای استفاده شده توسط هکرها نشان میدهد که آنها زمان زیادی را صرف ساختن جعبه ابزار بدافزار خود کردهاند. فعالیت های این گروه از سال 2012 تا حداقل 2018 ادامه داشته است.
پلت فرم حمله ایجاد شده توسط Slingshot شامل مراحل متعدد و چندین بردار سازش است. یکی از روشهای تایید شده از طریق روترهای Mikrotik بود که برای شامل یک مؤلفه خراب دانلود شده توسط Winbox Loader، یک نرمافزار مدیریت قانونی که برای پیکربندی Mikrotik استفاده میشود، اصلاح شدهاند. هنگامی که کاربر Winbox Loader را اجرا می کند، به روترهای در معرض خطر متصل می شود و Dynamic LibraryFiles (.DLL) آلوده را روی رایانه قربانی دانلود می کند. یکی از فایلهای .DLL با نام 'ipv4.dll' با اتصال به IP و پورت کدگذاریشده به عنوان قطرهانداز برای ماژولهای بدافزار اضافی عمل میکند. کتابخانه قانونی ویندوز 'scesrv.dll' با یک مدعی خراب که دقیقاً به همان اندازه است جایگزین می شود.
بخش عمده ای از فعالیت های مضر توسط دو ماژول پیچیده به نام های Cahnadr و GollumApp انجام می شود که به صورت پشت سر هم کار می کنند. 'Cahnadr' که با نام Ndriver نیز شناخته میشود، یک ماژول هسته است که مسئول روتینهای شبکه سطح پایین، عملیات IO، و غیره است. برای جاسازی کد خود در سطح هسته، Slingshot از درایورهای قانونی با آسیبپذیریهای شناخته شده با بارگیری آنها و اجرای کد خود از آنها سوء استفاده میکند. آسیبپذیریها (مانند CVE-2007-5633، CVE-2010-1592، و CVE-2009-0824). به دست آوردن دسترسی در چنین سطح سیستم پایینی به هکرها اجازه می دهد تا کنترل تقریباً نامحدودی بر رایانه های در معرض خطر داشته باشند. مهاجمان می توانند به راحتی از هر گونه حفاظتی که قربانی اجرا می کند دور بزنند. لازم به ذکر است که Cahnadr قادر است عملکردهای تهدید کننده خود را بدون از کار انداختن سیستم یا ایجاد صفحه خطای آبی انجام دهد.
ماژول دیگر Slingshot - GollumApp، بسیار پیچیده تر است، شامل بیش از 1500 عملکرد تعریف شده توسط کاربر. وظیفه آن تنظیم مکانیسم تداوم تهدید، دستکاری سیستم فایل در دستگاه در معرض خطر، و همچنین مدیریت ارتباط با زیرساخت فرماندهی و کنترل (C2, C&C) است.
Slingshot مقدار قابل توجهی از اطلاعات را از سیستم های در معرض خطر جمع آوری می کند. این بدافزار میتواند دادههای صفحهکلید، دادههای شبکه، اتصالات USB، گذرواژهها، نامهای کاربری، دسترسی به کلیپ بورد، گرفتن اسکرین شات و غیره را به دست آورد. این واقعیت که Slingshot دسترسی در سطح هسته دارد به این معنی است که مهاجمان به طور بالقوه میتوانند هر چیزی را که میخواهند جمعآوری کنند، مانند اعتبار/ جزئیات کارت نقدی، شماره تامین اجتماعی و رمز عبور. تمام داده های جمع آوری شده از طریق کانال های شبکه استاندارد استخراج می شوند. این بدافزار ترافیک غیرعادی خود را در فراخوانهای قانونی پنهان میکند، بستههای Slingshot را بررسی میکند و فقط ترافیک عادی فیلتر شده را به کاربر و برنامههای sniffer احتمالی که ممکن است نصب شود برمیگرداند.