Slingshot APT

Slingshot APT نامی است که به یک گروه بسیار پیچیده از هکرها که مسئول استقرار یک تهدید پیچیده استخراج اطلاعات هستند داده شده است. با توجه به ماهیت فعالیت های آن. محققان infosec معتقدند که هدف Slingshot APT جاسوسی شرکتی است. روش‌های استفاده شده توسط هکرها نشان می‌دهد که آنها زمان زیادی را صرف ساختن جعبه ابزار بدافزار خود کرده‌اند. فعالیت های این گروه از سال 2012 تا حداقل 2018 ادامه داشته است.

پلت فرم حمله ایجاد شده توسط Slingshot شامل مراحل متعدد و چندین بردار سازش است. یکی از روش‌های تایید شده از طریق روترهای Mikrotik بود که برای شامل یک مؤلفه خراب دانلود شده توسط Winbox Loader، یک نرم‌افزار مدیریت قانونی که برای پیکربندی Mikrotik استفاده می‌شود، اصلاح شده‌اند. هنگامی که کاربر Winbox Loader را اجرا می کند، به روترهای در معرض خطر متصل می شود و Dynamic LibraryFiles (.DLL) آلوده را روی رایانه قربانی دانلود می کند. یکی از فایل‌های .DLL با نام 'ipv4.dll' با اتصال به IP و پورت کدگذاری‌شده به عنوان قطره‌انداز برای ماژول‌های بدافزار اضافی عمل می‌کند. کتابخانه قانونی ویندوز 'scesrv.dll' با یک مدعی خراب که دقیقاً به همان اندازه است جایگزین می شود.

بخش عمده ای از فعالیت های مضر توسط دو ماژول پیچیده به نام های Cahnadr و GollumApp انجام می شود که به صورت پشت سر هم کار می کنند. 'Cahnadr' که با نام Ndriver نیز شناخته می‌شود، یک ماژول هسته است که مسئول روتین‌های شبکه سطح پایین، عملیات IO، و غیره است. برای جاسازی کد خود در سطح هسته، Slingshot از درایورهای قانونی با آسیب‌پذیری‌های شناخته شده با بارگیری آنها و اجرای کد خود از آنها سوء استفاده می‌کند. آسیب‌پذیری‌ها (مانند CVE-2007-5633، CVE-2010-1592، و CVE-2009-0824). به دست آوردن دسترسی در چنین سطح سیستم پایینی به هکرها اجازه می دهد تا کنترل تقریباً نامحدودی بر رایانه های در معرض خطر داشته باشند. مهاجمان می توانند به راحتی از هر گونه حفاظتی که قربانی اجرا می کند دور بزنند. لازم به ذکر است که Cahnadr قادر است عملکردهای تهدید کننده خود را بدون از کار انداختن سیستم یا ایجاد صفحه خطای آبی انجام دهد.

ماژول دیگر Slingshot - GollumApp، بسیار پیچیده تر است، شامل بیش از 1500 عملکرد تعریف شده توسط کاربر. وظیفه آن تنظیم مکانیسم تداوم تهدید، دستکاری سیستم فایل در دستگاه در معرض خطر، و همچنین مدیریت ارتباط با زیرساخت فرماندهی و کنترل (C2, C&C) است.

Slingshot مقدار قابل توجهی از اطلاعات را از سیستم های در معرض خطر جمع آوری می کند. این بدافزار می‌تواند داده‌های صفحه‌کلید، داده‌های شبکه، اتصالات USB، گذرواژه‌ها، نام‌های کاربری، دسترسی به کلیپ بورد، گرفتن اسکرین شات و غیره را به دست آورد. این واقعیت که Slingshot دسترسی در سطح هسته دارد به این معنی است که مهاجمان به طور بالقوه می‌توانند هر چیزی را که می‌خواهند جمع‌آوری کنند، مانند اعتبار/ جزئیات کارت نقدی، شماره تامین اجتماعی و رمز عبور. تمام داده های جمع آوری شده از طریق کانال های شبکه استاندارد استخراج می شوند. این بدافزار ترافیک غیرعادی خود را در فراخوان‌های قانونی پنهان می‌کند، بسته‌های Slingshot را بررسی می‌کند و فقط ترافیک عادی فیلتر شده را به کاربر و برنامه‌های sniffer احتمالی که ممکن است نصب شود برمی‌گرداند.