Slingshot APT

Slingshot APT to nazwa nadana wysoce wyrafinowanej grupie hakerów odpowiedzialnych za wdrożenie złożonego zagrożenia eksfiltracją danych. Ze względu na charakter swojej działalności. Badacze infosec uważają, że celem Slingshot APT jest szpiegostwo korporacyjne. Metody wykorzystywane przez hakerów pokazują, że spędzili sporo czasu na tworzeniu swojego zestawu narzędzi do złośliwego oprogramowania. Działalność grupy trwała od 2012 roku do co najmniej 2018 roku.

Platforma ataków stworzona przez Slingshot obejmuje wiele etapów i kilka wektorów kompromisu. Jedną z potwierdzonych metod było użycie routerów Mikrotik, które zostały zmodyfikowane tak, aby zawierały uszkodzony komponent pobrany przez Winbox Loader, legalne oprogramowanie do zarządzania używane do konfiguracji Mikrotika. Kiedy użytkownik uruchamia Winbox Loader, łączy się z zaatakowanymi routerami i pobiera zainfekowane Dynamic LibraryFiles (.DLL) na komputer ofiary. Jeden z plików .DLL o nazwie „ipv4.dll” działa jako dropper dla dodatkowych modułów złośliwego oprogramowania, łącząc się z zakodowanym adresem IP i portem. Legalna biblioteka Windows „scesrv.dll” zostanie zastąpiona uszkodzonym pretendentem o dokładnie takim samym rozmiarze.

Większość szkodliwych działań jest wykonywana przez dwa wyrafinowane moduły o nazwach „Cahnadr” i „GollumApp”, które działają w tandemie. „Cahnadr”, znany również jako Ndriver, to moduł jądra odpowiedzialny za procedury sieciowe niskiego poziomu, operacje IO itp. Aby osadzić swój kod na poziomie jądra, Slingshot nadużywa legalnych sterowników ze znanymi lukami, ładując je i uruchamiając swój kod luki (takie jak CVE-2007-5633, CVE-2010-1592 i CVE-2009-0824). Uzyskanie dostępu na tak niskim poziomie systemu pozwala hakerom na prawie nieograniczoną kontrolę nad zaatakowanymi komputerami. Osoby atakujące mogą z łatwością ominąć wszelkie zabezpieczenia wdrożone przez ofiarę. Należy zauważyć, że „Cahnadr” jest w stanie wykonywać groźne funkcje bez powodowania awarii systemu lub wyświetlania niebieskiego ekranu błędu.

Drugi moduł Slingshot - GollumApp, jest znacznie bardziej złożony i zawiera ponad 1500 funkcji zdefiniowanych przez użytkownika. Jego zadaniem jest skonfigurowanie mechanizmu utrwalania zagrożenia, manipulowanie systemem plików na zaatakowanym urządzeniu, a także obsługa komunikacji z infrastrukturą Command-and-Control (C2, C&C).

Slingshot zbiera znaczną ilość informacji z zaatakowanych systemów. Złośliwe oprogramowanie może uzyskiwać dane z klawiatury, dane sieciowe, połączenia USB, hasła, nazwy użytkowników, uzyskiwać dostęp do schowka, robić zrzuty ekranu itp. Fakt, że Slingshot ma dostęp na poziomie jądra, oznacza, że atakujący mogą potencjalnie zebrać wszystko, czego chcą, na przykład kredyty/ dane karty debetowej, numery ubezpieczenia społecznego i hasła. Wszystkie zebrane dane są eksfiltrowane standardowymi kanałami sieciowymi. Złośliwe oprogramowanie ukrywa swój nienormalny ruch w legalnych wywołaniach zwrotnych, sprawdzając wszelkie pakiety Slingshot i zwracając tylko przefiltrowany normalny ruch do użytkownika oraz wszelkie potencjalne aplikacje sniffer, które mogą być zainstalowane.