Slingshot APT

Slingshot APT yra labai sudėtingos įsilaužėlių grupės, atsakingos už sudėtingos duomenų išfiltravimo grėsmės diegimą, pavadinimas. Dėl savo veiklos pobūdžio. infosec tyrėjai mano, kad Slingshot APT tikslas yra įmonių šnipinėjimas. Įsilaužėlių naudojami metodai rodo, kad jie daug laiko praleido kurdami kenkėjiškų programų įrankių rinkinį. Grupės veikla tęsėsi nuo 2012 m. iki mažiausiai 2018 m.

Slingshot sukurta atakos platforma apima kelis etapus ir kelis kompromiso vektorius. Vienas iš patvirtintų metodų buvo naudojant Mikrotik maršrutizatorius, kurie buvo modifikuoti, kad būtų įtrauktas sugadintas komponentas, kurį atsisiuntė Winbox Loader – teisėta valdymo programinė įranga, naudojama Mikrotik konfigūravimui. Kai vartotojas paleidžia Winbox Loader, jis prisijungia prie pažeistų maršruto parinktuvų ir atsisiunčia užkrėstus dinaminius bibliotekos failus (.DLL) į aukos kompiuterį. Vienas iš .DLL failų, pavadintų „ipv4.dll“, veikia kaip papildomų kenkėjiškų programų modulių lašintuvas, jungiantis prie užkoduoto IP ir prievado. Teisėta „Windows“ biblioteka „scesrv.dll“ bus pakeista sugadinta tokio paties dydžio apsimetėle.

Didžiąją dalį žalingos veiklos atlieka du sudėtingi moduliai, pavadinti „Cahnadr“ ir „GollumApp“, kurie veikia kartu. „Cahnadr“, taip pat žinomas kaip Ndriver, yra branduolio modulis, atsakingas už žemo lygio tinklo rutinas, IO operacijas ir kt. Siekdama įterpti savo kodą branduolio lygiu, „Slingshot“ piktnaudžiauja teisėtomis tvarkyklėmis su žinomomis pažeidžiamumu, įkeldama jas ir paleisdama savo kodą per pažeidžiamumų (pvz., CVE-2007-5633, CVE-2010-1592 ir CVE-2009-0824). Prieigos gavimas tokiu žemu sistemos lygiu leidžia įsilaužėliams beveik neribotai valdyti pažeistus kompiuterius. Užpuolikai galėjo lengvai apeiti bet kokias aukos įdiegtas apsaugos priemones. Reikia pažymėti, kad „Cahnadr“ gali atlikti savo grėsmingas funkcijas nesugadindamas sistemos arba nesukeldamas mėlynos klaidos ekrano.

Kitas Slingshot modulis – GollumApp – yra daug sudėtingesnis, jame yra daugiau nei 1500 vartotojo nustatytų funkcijų. Jai pavesta nustatyti grėsmės išlikimo mechanizmą, manipuliuoti pažeisto įrenginio failų sistema, taip pat tvarkyti ryšį su Command-and-Control (C2, C&C) infrastruktūra.

Slingshot surenka daug informacijos iš pažeistų sistemų. Kenkėjiška programa gali gauti klaviatūros duomenis, tinklo duomenis, USB jungtis, slaptažodžius, naudotojų vardus, pasiekti iškarpinę, daryti ekrano kopijas ir kt. Tai, kad „Slingshot“ turi branduolio lygio prieigą, reiškia, kad užpuolikai gali rinkti viską, ko nori, pvz., kreditą/ debeto kortelės duomenys, socialinio draudimo numeriai ir slaptažodžiai. Visi surinkti duomenys išfiltruojami standartiniais tinklo kanalais. Kenkėjiška programa slepia savo neįprastą srautą teisėtais atgaliniais skambučiais, tikrindama bet kokius „Slingshot“ paketus ir grąžindama vartotojui tik filtruotą įprastą srautą ir visas galimas programas, kurios gali būti įdiegtos.

Tendencijos

Labiausiai žiūrima

Įkeliama...