Slingshot APT

Slingshot APT è il nome dato a un gruppo altamente sofisticato di hacker responsabili della distribuzione di una complessa minaccia di esfiltrazione di dati. A causa della natura delle sue attività. I ricercatori di infosec ritengono che l'obiettivo di Slingshot APT sia lo spionaggio aziendale. I metodi utilizzati dagli hacker mostrano che hanno trascorso molto tempo a creare il loro toolkit malware. Le attività del gruppo sono proseguite dal 2012 almeno al 2018.

La piattaforma di attacco stabilita da Slingshot prevede più fasi e diversi vettori di compromesso. Un metodo confermato era tramite i router Mikrotik che sono stati modificati per includere un componente danneggiato scaricato dal Winbox Loader, un software di gestione legittimo utilizzato per la configurazione Mikrotik. Quando l'utente esegue Winbox Loader, si connette ai router compromessi e scarica Dynamic LibraryFiles (.DLL) infetti sul computer della vittima. Uno dei file .DLL denominato "ipv4.dll" funge da contagocce per moduli malware aggiuntivi collegandosi a un IP e a una porta hardcoded. La libreria legittima di Windows "scesrv.dll" verrà sostituita con un pretender danneggiato che ha esattamente le stesse dimensioni.

La maggior parte delle attività dannose viene eseguita da due moduli sofisticati denominati "Cahnadr" e "GollumApp" che funzionano in tandem. "Cahnadr", noto anche come Ndriver, è un modulo del kernel responsabile delle routine di rete di basso livello, operazioni IO, ecc. Per incorporare il suo codice a livello di kernel, Slingshot abusa dei driver legittimi con vulnerabilità note caricandoli ed eseguendo il suo codice attraverso le vulnerabilità (come CVE-2007-5633, CVE-2010-1592 e CVE-2009-0824). Ottenere l'accesso a un livello di sistema così basso consente agli hacker di avere un controllo quasi illimitato sui computer compromessi. Gli aggressori potrebbero facilmente aggirare qualsiasi protezione implementata dalla vittima. Va notato che "Cahnadr" è in grado di eseguire le sue funzioni minacciose senza bloccare il sistema o causare una schermata di errore blu.

L'altro modulo Slingshot, GollumApp, è molto più complesso e include oltre 1500 funzioni definite dall'utente. Ha il compito di impostare il meccanismo di persistenza della minaccia, la manipolazione del file system sul dispositivo compromesso, nonché la gestione della comunicazione con l'infrastruttura Command-and-Control (C2, C&C).

Slingshot raccoglie una quantità significativa di informazioni dai sistemi compromessi. Il malware può ottenere dati della tastiera, dati di rete, connessioni USB, password, nomi utente, accedere agli appunti, acquisire screenshot, ecc. Il fatto che Slingshot abbia accesso a livello di kernel significa che gli aggressori potrebbero potenzialmente raccogliere tutto ciò che vogliono, come credito / dettagli della carta di debito, numeri di previdenza sociale e password. Tutti i dati raccolti vengono esfiltrati attraverso canali di rete standard. Il malware nasconde il suo traffico anormale in call-back legittime, eseguendo controlli per eventuali pacchetti Slingshot e restituendo all'utente solo il traffico normale filtrato e qualsiasi potenziale applicazione sniffer che potrebbe essere installata.

Tendenza

I più visti

Caricamento in corso...