Slingshot APT

Slingshot APT is de naam die is gegeven aan een zeer geavanceerde groep hackers die verantwoordelijk is voor de inzet van een complexe dreiging van gegevensonderschepping. Vanwege de aard van zijn activiteiten. infosec-onderzoekers geloven dat het doel van de Slingshot APT bedrijfsspionage is. De methoden die de hackers gebruiken, laten zien dat ze veel tijd hebben besteed aan het maken van hun malwaretoolkit. De activiteiten van de groep zijn voortgezet van 2012 tot minstens 2018.

Het door Slingshot opgezette aanvalsplatform omvat meerdere fasen en verschillende vectoren voor compromissen. Een bevestigde methode was via Mikrotik-routers die zijn aangepast om een beschadigd onderdeel op te nemen dat is gedownload door de Winbox Loader, een legitieme beheersoftware die wordt gebruikt voor de Mikrotik-configuratie. Wanneer de gebruiker Winbox Loader uitvoert, maakt deze verbinding met de gecompromitteerde routers en downloadt geïnfecteerde Dynamic LibraryFiles (.DLL) naar de computer van het slachtoffer. Een van de .DLL-bestanden met de naam 'ipv4.dll' fungeert als een dropper voor extra malwaremodules door verbinding te maken met een hardcoded IP en poort. De legitieme Windows-bibliotheek 'scesrv.dll' zal worden vervangen door een beschadigde pretendent met exact dezelfde grootte.

Het grootste deel van de schadelijke activiteit wordt uitgevoerd door twee geavanceerde modules genaamd 'Cahnadr' en 'GollumApp' die samenwerken. 'Cahnadr', ook bekend als Ndriver, is een kernelmodule die verantwoordelijk is voor netwerkroutines op laag niveau, IO-bewerkingen, enz. de kwetsbaarheden (zoals CVE-2007-5633, CVE-2010-1592 en CVE-2009-0824). Door toegang te krijgen op zo'n laag systeemniveau, hebben hackers een vrijwel onbeperkte controle over de gecompromitteerde computers. De aanvallers kunnen de door het slachtoffer geïmplementeerde beveiligingen gemakkelijk omzeilen. Opgemerkt moet worden dat 'Cahnadr' in staat is om zijn bedreigende functies uit te voeren zonder het systeem te laten crashen of een blauw foutscherm te veroorzaken.

De andere Slingshot-module - GollumApp, is veel complexer en bevat meer dan 1500 door de gebruiker gedefinieerde functies. Het is belast met het opzetten van het persistentiemechanisme van de dreiging, het manipuleren van het bestandssysteem op het gecompromitteerde apparaat en het afhandelen van de communicatie met de Command-and-Control (C2, C&C) infrastructuur.

Slingshot verzamelt een aanzienlijke hoeveelheid informatie uit de gecompromitteerde systemen. De malware kan toetsenbordgegevens, netwerkgegevens, USB-verbindingen, wachtwoorden, gebruikersnamen verkrijgen, toegang krijgen tot het klembord, screenshots maken, enz. Het feit dat Slingshot toegang op kernelniveau heeft, betekent dat de aanvallers mogelijk alles kunnen verzamelen wat ze willen, zoals krediet / bankpasgegevens, burgerservicenummers en wachtwoorden. Alle verzamelde gegevens worden geëxfiltreerd via standaard netwerkkanalen. De malware verbergt zijn abnormaal verkeer in legitieme call-backs, voert controles uit op slingshot-pakketten en retourneert alleen het gefilterde normale verkeer naar de gebruiker en eventuele sniffer-applicaties die mogelijk zijn geïnstalleerd.