Slingshot APT

Slingshot APT הוא השם שניתן לקבוצה מתוחכמת ביותר של האקרים האחראים לפריסה של איום חילוץ נתונים מורכב. בשל אופי פעילותו. חוקרי infosec מאמינים שהמטרה של Slingshot APT היא ריגול תאגידי. השיטות בהן השתמשו ההאקרים מראות שהם השקיעו זמן רב ביצירת ערכת הכלים של תוכנות זדוניות. פעילות הקבוצה נמשכה משנת 2012 ועד 2018 לפחות.

פלטפורמת ההתקפה שהוקמה על ידי Slingshot כוללת שלבים מרובים וכמה וקטורים של פשרה. שיטה אחת שאושרה הייתה דרך נתבי Mikrotik ששונו כך שיכללו רכיב פגום שהוורד על ידי Winbox Loader, תוכנת ניהול לגיטימית המשמשת לתצורת Mikrotik. כאשר המשתמש מריץ את Winbox Loader, הוא מתחבר לנתבים שנפגעו ומוריד קבצי ספרייה דינמיים (.DLL) נגועים למחשב של הקורבן. אחד מקובצי ה-.DLL בשם 'ipv4.dll' פועל כמטפטף עבור מודולי תוכנה זדונית נוספים על ידי חיבור ל-IP ויציאה קשיחים. ספריית Windows הלגיטימית 'scesrv.dll' תוחלף במחזה פגום בעל אותו גודל בדיוק.

עיקר הפעילות המזיקה מתבצעת על ידי שני מודולים מתוחכמים בשם 'Cahnadr' ו-'GollumApp' הפועלים במקביל. 'Cahnadr', הידוע גם בשם Ndriver, הוא מודול ליבה שאחראי על שגרות רשת ברמה נמוכה, פעולות IO וכו'. כדי להטמיע את הקוד שלו ברמת הליבה, Slingshot משתמש לרעה במנהלי התקנים לגיטימיים עם פגיעויות ידועות על ידי טעינתם והפעלת הקוד שלו באמצעות את הפגיעויות (כגון CVE-2007-5633, CVE-2010-1592 ו-CVE-2009-0824). השגת גישה ברמה כה נמוכה מאפשרת להאקרים שליטה כמעט בלתי מוגבלת על המחשבים שנפגעו. התוקפים יכלו לעקוף בקלות את כל ההגנות שיישמו על ידי הקורבן. יש לציין כי 'Cahnadr' מסוגל לבצע את הפונקציות המאיימות שלו מבלי לקרוס את המערכת או לגרום למסך שגיאה כחול.

המודול השני של Slingshot - GollumApp, מורכב הרבה יותר, כולל למעלה מ-1500 פונקציות המוגדרות על ידי משתמש. מוטלת עליה המשימה להגדיר את מנגנון ההתמדה של האיום, את המניפולציה של מערכת הקבצים במכשיר שנפגע, כמו גם לטפל בתקשורת עם תשתית הפקודה והבקרה (C2, C&C).

Slingshot אוספת כמות משמעותית של מידע מהמערכות שנפגעו. התוכנה הזדונית יכולה להשיג נתוני מקלדת, נתוני רשת, חיבורי USB, סיסמאות, שמות משתמש, לגשת ללוח, לצלם צילומי מסך וכו'. העובדה שלSlingshot יש גישה ברמת ליבה פירושה שהתוקפים יכולים לאסוף כל דבר שהם רוצים, כמו אשראי/ פרטי כרטיס חיוב, מספרי תעודת זהות וסיסמאות. כל הנתונים שנאספו עוברים דרך ערוצי רשת סטנדרטיים. התוכנה הזדונית מסתירה את התעבורה החריגה שלה בהתקשרויות לגיטימיות, מבצעת בדיקות עבור כל חבילות Slingshot, ומחזירה רק את התעבורה הרגילה המסוננת למשתמש ולכל יישומי סניפר פוטנציאליים שעלולים להיות מותקנים.

מגמות

הכי נצפה

טוען...