Katapel APT

Katapel APT ialah nama yang diberikan kepada kumpulan penggodam yang sangat canggih yang bertanggungjawab untuk penggunaan ancaman penyingkiran data yang kompleks. Oleh kerana sifat aktivitinya. penyelidik infosec percaya bahawa matlamat Slingshot APT adalah pengintipan korporat. Kaedah yang digunakan oleh penggodam menunjukkan bahawa mereka telah menghabiskan banyak masa untuk mencipta kit alat perisian hasad mereka. Aktiviti kumpulan itu telah diteruskan dari 2012 hingga sekurang-kurangnya 2018.

Platform serangan yang ditubuhkan oleh Slingshot melibatkan pelbagai peringkat dan beberapa vektor kompromi. Satu kaedah yang disahkan adalah melalui penghala Mikrotik yang telah diubah suai untuk memasukkan komponen rosak yang dimuat turun oleh Winbox Loader, perisian pengurusan yang sah yang digunakan untuk konfigurasi Mikrotik. Apabila pengguna menjalankan Winbox Loader, ia menyambung kepada penghala yang terjejas dan memuat turun Dynamic LibraryFiles (.DLL) yang dijangkiti ke komputer mangsa. Salah satu fail .DLL bernama 'ipv4.dll' bertindak sebagai penitis untuk modul perisian hasad tambahan dengan menyambung ke IP dan port berkod keras. Pustaka Windows yang sah 'scesrv.dll' akan digantikan dengan penyamar yang rosak yang mempunyai saiz yang sama.

Sebahagian besar aktiviti berbahaya dilakukan oleh dua modul canggih bernama 'Cahnadr' dan 'GollumApp' yang berfungsi seiring. 'Cahnadr,' juga dikenali sebagai Ndriver, ialah modul kernel yang bertanggungjawab untuk rutin rangkaian peringkat rendah, operasi IO, dll. Untuk membenamkan kodnya pada peringkat kernel, Slingshot menyalahgunakan pemacu yang sah dengan kelemahan yang diketahui dengan memuatkannya dan menjalankan kodnya melalui kelemahan (seperti CVE-2007-5633, CVE-2010-1592 dan CVE-2009-0824). Mendapat akses pada tahap sistem rendah sedemikian membolehkan penggodam mempunyai kawalan hampir tanpa had ke atas komputer yang terjejas. Penyerang dengan mudah boleh memintas sebarang perlindungan yang dilaksanakan oleh mangsa. Perlu diingatkan bahawa 'Cahnadr' mampu melaksanakan fungsi mengancamnya tanpa merosakkan sistem atau menyebabkan skrin ralat biru.

Modul Slingshot yang lain - GollumApp, jauh lebih kompleks, termasuk lebih 1500 fungsi yang ditentukan pengguna. Ia ditugaskan untuk menyediakan mekanisme kegigihan ancaman, manipulasi sistem fail pada peranti yang terjejas, serta mengendalikan komunikasi dengan infrastruktur Perintah-dan-Kawalan (C2, C&C).

Katapel mengumpul sejumlah besar maklumat daripada sistem yang terjejas. Malware boleh mendapatkan data papan kekunci, data rangkaian, sambungan USB, kata laluan, nama pengguna, mengakses papan keratan, mengambil tangkapan skrin, dsb. Hakikat bahawa Slingshot mempunyai akses peringkat kernel bermakna penyerang berpotensi mengumpul apa sahaja yang mereka mahu, seperti kredit/ butiran kad debit, nombor keselamatan sosial dan kata laluan. Semua data yang dikumpul dieksfiltrasi melalui saluran rangkaian standard. Perisian hasad menyembunyikan trafiknya yang tidak normal dalam panggilan balik yang sah, melakukan semakan untuk mana-mana pakej Katapel dan hanya mengembalikan trafik biasa yang ditapis kepada pengguna dan sebarang aplikasi penghidu yang mungkin dipasang.