Slingshot APT

Slingshot APT er navnet gitt til en svært sofistikert gruppe hackere som er ansvarlige for utplasseringen av en kompleks dataeksfiltreringstrussel. På grunn av arten av dets aktiviteter. infosec-forskere mener at målet med Slingshot APT er bedriftsspionasje. Metodene hackerne brukte viser at de har brukt mye tid på å lage verktøysettet for skadevare. Aktivitetene til gruppen har fortsatt fra 2012 til minst 2018.

Angrepsplattformen etablert av Slingshot involverer flere stadier og flere kompromissvektorer. En bekreftet metode var gjennom Mikrotik-rutere som har blitt modifisert til å inkludere en ødelagt komponent lastet ned av Winbox Loader, en legitim administrasjonsprogramvare som brukes for Mikrotik-konfigurasjon. Når brukeren kjører Winbox Loader, kobles den til de kompromitterte ruterne og laster ned infiserte Dynamic LibraryFiles (.DLL) til datamaskinen til offeret. En av .DLL-filene kalt 'ipv4.dll' fungerer som en dropper for ytterligere skadevaremoduler ved å koble til en hardkodet IP og port. Det legitime Windows-biblioteket 'scesrv.dll' vil bli erstattet med en ødelagt pretender som har nøyaktig samme størrelse.

Hoveddelen av den skadelige aktiviteten utføres av to sofistikerte moduler kalt 'Cahnadr' og 'GollumApp' som fungerer sammen. 'Cahnadr', også kjent som Ndriver, er en kjernemodul som er ansvarlig for nettverksrutiner på lavt nivå, IO-operasjoner osv. For å bygge inn koden på kjernenivå, misbruker Slingshot legitime drivere med kjente sårbarheter ved å laste dem og kjøre koden gjennom. sårbarhetene (som CVE-2007-5633, CVE-2010-1592 og CVE-2009-0824). Å få tilgang på et så lavt systemnivå lar hackerne ha nesten ubegrenset kontroll over de kompromitterte datamaskinene. Angriperne kunne enkelt omgå enhver beskyttelse som ble implementert av offeret. Det må bemerkes at 'Cahnadr' er i stand til å utføre sine truende funksjoner uten å krasje systemet eller forårsake en blå feilskjerm.

Den andre Slingshot-modulen - GollumApp, er langt mer kompleks, inkludert over 1500 brukerdefinerte funksjoner. Den har i oppgave å sette opp utholdenhetsmekanismen for trusselen, manipulering av filsystemet på den kompromitterte enheten, samt håndtere kommunikasjonen med Command-and-Control (C2, C&C)-infrastrukturen.

Slingshot samler inn en betydelig mengde informasjon fra de kompromitterte systemene. Skadevaren kan få tak i tastaturdata, nettverksdata, USB-tilkoblinger, passord, brukernavn, få tilgang til utklippstavlen, ta skjermbilder osv. Det faktum at Slingshot har tilgang på kjernenivå betyr at angriperne potensielt kan samle inn alt de vil, for eksempel kreditt/ debetkortdetaljer, personnummer og passord. Alle de innsamlede dataene eksfiltreres gjennom standard nettverkskanaler. Skadevaren skjuler sin unormale trafikk i legitime tilbakeringinger, utfører kontroller for eventuelle Slingshot-pakker, og returnerer bare den filtrerte normale trafikken til brukeren og potensielle sniffer-applikasjoner som kan installeres.