Praćka APT

Slingshot APT naziv je za vrlo sofisticiranu skupinu hakera odgovornih za implementaciju složene prijetnje eksfiltracije podataka. Zbog prirode svoje djelatnosti. Infosec istraživači vjeruju da je cilj Slingshot APT-a korporativna špijunaža. Metode koje koriste hakeri pokazuju da su proveli dosta vremena stvarajući svoj alat za zlonamjerni softver. Aktivnosti grupe nastavljene su od 2012. do najmanje 2018. godine.

Napadna platforma koju je uspostavio Slingshot uključuje više faza i nekoliko vektora kompromisa. Jedna potvrđena metoda bila je putem Mikrotik usmjerivača koji su modificirani tako da uključuju oštećenu komponentu koju je preuzeo Winbox Loader, legitimni upravljački softver koji se koristi za Mikrotik konfiguraciju. Kada korisnik pokrene Winbox Loader, on se povezuje s ugroženim usmjerivačima i preuzima zaražene datoteke Dynamic LibraryFiles (.DLL) na računalo žrtve. Jedna od .DLL datoteka pod nazivom 'ipv4.dll' djeluje kao sredstvo za uklanjanje dodatnih modula zlonamjernog softvera spajanjem na tvrdo kodirani IP i port. Legitimna Windows biblioteka 'scesrv.dll' bit će zamijenjena oštećenim pretendentom koji ima potpuno istu veličinu.

Najveći dio štetne aktivnosti obavljaju dva sofisticirana modula pod nazivom 'Cahnadr' i 'GollumApp' koji rade u tandemu. 'Cahnadr', također poznat kao Ndriver, je modul kernela odgovoran za mrežne rutine niske razine, IO operacije itd. Da bi ugradio svoj kod na razinu kernela, Slingshot zlorabi legitimne upravljačke programe s poznatim ranjivostima tako što ih učitava i izvodi svoj kod kroz ranjivosti (kao što su CVE-2007-5633, CVE-2010-1592 i CVE-2009-0824). Stjecanje pristupa na tako niskoj razini sustava omogućuje hakerima da imaju gotovo neograničenu kontrolu nad ugroženim računalima. Napadači su lako mogli zaobići svaku zaštitu koju provodi žrtva. Mora se napomenuti da je 'Cahnadr' sposoban obavljati svoje prijeteće funkcije bez rušenja sustava ili izazivanja plavog zaslona s greškom.

Drugi modul Slingshot - GollumApp, daleko je složeniji, uključujući preko 1500 korisnički definiranih funkcija. Zadaća mu je postavljanje mehanizma postojanosti prijetnje, manipulacija datotečnim sustavom na kompromitiranom uređaju, kao i rukovanje komunikacijom s infrastrukturom Command-and-Control (C2, C&C).

Slingshot prikuplja značajnu količinu informacija iz ugroženih sustava. Zlonamjerni softver može dobiti podatke tipkovnice, mrežne podatke, USB veze, lozinke, korisnička imena, pristupiti međuspremniku, napraviti snimke zaslona itd. Činjenica da Slingshot ima pristup na razini kernela znači da bi napadači potencijalno mogli prikupiti sve što žele, poput kredita/ podatke o debitnoj kartici, brojeve socijalnog osiguranja i lozinke. Svi prikupljeni podaci eksfiltriraju se kroz standardne mrežne kanale. Zlonamjerni softver skriva svoj abnormalni promet u legitimnim povratnim pozivima, obavlja provjeru za sve Slingshot pakete i vraća samo filtrirani normalni promet korisniku i svim potencijalnim aplikacijama za njuškanje koje bi mogle biti instalirane.