Slingshot APT

A Slingshot APT a hackerek rendkívül kifinomult csoportjának elnevezése, amely egy összetett adatszivárgási fenyegetés telepítéséért felelős. Tevékenységének jellegéből adódóan. Az infosec kutatói úgy vélik, hogy a Slingshot APT célja a vállalati kémkedés. A hackerek által használt módszerek azt mutatják, hogy jelentős időt töltöttek a rosszindulatú szoftverek eszköztárának elkészítésével. A csoport tevékenysége 2012-től legalább 2018-ig folytatódott.

A Slingshot által létrehozott támadási platform több szakaszból és több kompromisszumos vektorból áll. Az egyik megerősített módszer a Mikrotik útválasztókon keresztül történt, amelyeket úgy módosítottak, hogy tartalmazzanak egy sérült komponenst, amelyet a Winbox Loader, a Mikrotik konfigurálásához használt legitim felügyeleti szoftver töltött le. Amikor a felhasználó futtatja a Winbox Loader alkalmazást, az csatlakozik a feltört útválasztókhoz, és letölti a fertőzött Dynamic LibraryFiles (.DLL) fájlokat az áldozat számítógépére. Az egyik „ipv4.dll” nevű .DLL-fájl további rosszindulatú programmodulok csepegtetőjeként működik, mivel csatlakozik egy merevkódolt IP-címhez és porthoz. A jogos Windows-könyvtár „scesrv.dll” helyére egy pontosan azonos méretű, sérült színlelt program kerül.

A káros tevékenység nagy részét két kifinomult modul, a „Cahnadr” és a „GollumApp” végzi, amelyek párhuzamosan működnek. A „Cahnadr”, más néven Ndriver, egy kernelmodul, amely az alacsony szintű hálózati rutinokért, IO-műveletekért stb. felelős. A kód kernelszintű beágyazásához a Slingshot visszaél az ismert sebezhetőségekkel rendelkező legitim illesztőprogramokkal, betöltve és futtatva a kódját. a sebezhetőségeket (például CVE-2007-5633, CVE-2010-1592 és CVE-2009-0824). Az ilyen alacsony rendszerszintű hozzáférés megszerzése lehetővé teszi a hackerek számára, hogy szinte korlátlanul irányítsák a kompromittált számítógépeket. A támadók könnyen megkerülhetik az áldozat által alkalmazott védelmet. Meg kell jegyezni, hogy a 'Cahnadr' képes ellátni fenyegető funkcióit anélkül, hogy a rendszer összeomlik vagy kék hibaképernyőt okozna.

A másik Slingshot modul, a GollumApp, sokkal összetettebb, és több mint 1500 felhasználó által definiált funkciót tartalmaz. Feladata a fenyegetés perzisztencia mechanizmusának beállítása, a feltört eszköz fájlrendszerének manipulálása, valamint a Command-and-Control (C2, C&C) infrastruktúrával való kommunikáció kezelése.

A Slingshot jelentős mennyiségű információt gyűjt össze a feltört rendszerekről. A kártevő hozzáférhet billentyűzetadatokhoz, hálózati adatokhoz, USB-kapcsolatokhoz, jelszavakhoz, felhasználónevekhez, hozzáférhet a vágólaphoz, képernyőképeket készíthet stb. Az a tény, hogy a Slingshot kernelszintű hozzáféréssel rendelkezik, azt jelenti, hogy a támadók bármit begyűjthetnek, amit csak akarnak, például hitelt/ bankkártya adatok, társadalombiztosítási számok és jelszavak. Az összes összegyűjtött adatot szabványos hálózati csatornákon keresztül szűrjük ki. A rosszindulatú program elrejti abnormális forgalmát jogszerű visszahívásokban, ellenőrzi a Slingshot-csomagokat, és csak a szűrt normál forgalmat küldi vissza a felhasználónak és az esetlegesen telepített esetleges szippantó alkalmazásoknak.