슬링샷 APT

Slingshot APT는 복잡한 데이터 유출 위협 배포를 담당하는 고도로 정교한 해커 그룹에 부여된 이름입니다. 활동의 특성 때문입니다. infosec 연구원들은 Slingshot APT의 목표가 기업 스파이라고 믿습니다. 해커가 사용한 방법은 악성 소프트웨어 툴킷을 만드는 데 상당한 시간을 소비했음을 보여줍니다. 그룹의 활동은 2012년부터 적어도 2018년까지 계속되었습니다.

Slingshot에 의해 구축된 공격 플랫폼은 여러 단계와 여러 손상 벡터를 포함합니다. 확인된 방법 중 하나는 Mikrotik 구성에 사용되는 합법적인 관리 소프트웨어인 Winbox Loader에서 다운로드한 손상된 구성 요소를 포함하도록 수정된 Mikrotik 라우터를 통한 것입니다. 사용자가 Winbox Loader를 실행하면 감염된 라우터에 연결하고 감염된 동적 라이브러리 파일(.DLL)을 피해자의 컴퓨터에 다운로드합니다. 'ipv4.dll'이라는 .DLL 파일 중 하나는 하드코딩된 IP 및 포트에 연결하여 추가 악성 코드 모듈에 대한 드롭퍼 역할을 합니다. 합법적인 Windows 라이브러리 'scesrv.dll'은 정확히 같은 크기를 가진 손상된 위장으로 대체됩니다.

유해 활동의 대부분은 함께 작동하는 'Cahnadr' 및 'GollumApp'이라는 두 가지 정교한 모듈에 의해 수행됩니다. Ndriver로도 알려진 'Cahnadr'은 저수준 네트워크 루틴, IO 작업 등을 담당하는 커널 모듈입니다. 커널 수준에서 코드를 포함하기 위해 Slingshot은 알려진 취약점이 있는 합법적인 드라이버를 로드하고 실행하여 악용합니다. 취약점(예: CVE-2007-5633, CVE-2010-1592 및 CVE-2009-0824). 이러한 낮은 시스템 수준에서 액세스 권한을 얻으면 해커가 감염된 컴퓨터를 거의 무제한으로 제어할 수 있습니다. 공격자는 피해자가 구현한 보호 기능을 쉽게 우회할 수 있습니다. 'Cahnadr'은 시스템 충돌이나 블루 오류 화면을 일으키지 않고 위협적인 기능을 수행할 수 있다는 점에 유의해야 합니다.

다른 Slingshot 모듈인 GollumApp은 1500개 이상의 사용자 정의 함수를 포함하여 훨씬 더 복잡합니다. 위협의 지속 메커니즘을 설정하고 손상된 장치의 파일 시스템을 조작하고 C2, C&C 인프라와의 통신을 처리하는 임무를 맡습니다.

Slingshot은 손상된 시스템에서 상당한 양의 정보를 수집합니다. 멀웨어는 키보드 데이터, 네트워크 데이터, USB 연결, 암호, 사용자 이름, 클립보드 액세스, 스크린샷 찍기 등을 얻을 수 있습니다. Slingshot이 커널 수준 액세스 권한을 가지고 있다는 사실은 공격자가 잠재적으로 신용/ 직불 카드 세부 정보, 사회 보장 번호 및 암호. 수집된 모든 데이터는 표준 네트워크 채널을 통해 유출됩니다. 멀웨어는 정상적인 콜백에서 비정상적인 트래픽을 숨기고 모든 Slingshot 패키지를 검사하고 필터링된 일반 트래픽만 사용자와 설치될 수 있는 잠재적 스니퍼 애플리케이션에 반환합니다.