Slingshot APT

O Slingshot APT é o nome dado a um grupo altamente sofisticado de hackers responsáveis pela implantação de uma ameaça complexa de exfiltração de dados. Pela natureza de suas atividades. os pesquisadores da infosec acreditam que o objetivo do Slingshot APT é a espionagem corporativa. Os métodos usados pelos hackers mostram que eles passaram um tempo considerável criando seu kit de ferramentas de malware. As atividades do grupo continuaram de 2012 a pelo menos 2018.

A plataforma de ataque estabelecida pelo Slingshot envolve vários estágios e vários vetores de comprometimento. Um método confirmado foi por meio de roteadores Mikrotik que foram modificados para incluir um componente corrompido baixado pelo Winbox Loader, um software de gerenciamento legítimo usado para configuração Mikrotik. Quando o usuário executa o Winbox Loader, ele se conecta aos roteadores comprometidos e baixa Dynamic LibraryFiles (.DLL) infectados no computador da vítima. Um dos arquivos .DLL chamado 'ipv4.dll' atua como um dropper para módulos de malware adicionais, conectando-se a um IP e porta codificados. A biblioteca legítima do Windows 'scesrv.dll' será substituída por um simulador corrompido que tem exatamente o mesmo tamanho.

A maior parte da atividade prejudicial é realizada por dois módulos sofisticados chamados 'Cahnadr' e 'GollumApp' que funcionam em conjunto. 'Cahnadr,' também conhecido como Ndriver, é um módulo do kernel responsável por rotinas de rede de baixo nível, operações de IO, etc. Para incorporar seu código no nível do kernel, o Slingshot abusa de drivers legítimos com vulnerabilidades conhecidas, carregando-os e executando seu código através as vulnerabilidades (como CVE-2007-5633, CVE-2010-1592 e CVE-2009-0824). Obter acesso em um nível de sistema tão baixo permite que os hackers tenham controle quase ilimitado sobre os computadores comprometidos. Os invasores podem facilmente contornar qualquer proteção implementada pela vítima. Deve-se notar que 'Cahnadr' é capaz de executar suas funções de ameaça sem travar o sistema ou causar uma tela de erro azul.

O outro módulo do Slingshot - GollumApp, é muito mais complexo, incluindo mais de 1500 funções definidas pelo usuário. Ele é responsável por configurar o mecanismo de persistência da ameaça, a manipulação do sistema de arquivos no dispositivo comprometido, bem como lidar com a comunicação com a infraestrutura de Comando e Controle (C2, C&C).

O Slingshot coleta uma quantidade significativa de informações dos sistemas comprometidos. O malware pode obter dados de teclado, dados de rede, conexões USB, senhas, nomes de usuário, acessar a área de transferência, fazer capturas de tela, etc. O fato do Slingshot ter acesso em nível de kernel significa que os invasores podem potencialmente coletar qualquer coisa que quiserem, como crédito / detalhes do cartão de débito, números de segurança social e senhas. Todos os dados coletados são filtrados por canais de rede padrão. O malware oculta seu tráfego anormal em retornos de chamada legítimos, realizando digitalizações de quaisquer pacotes do Slingshot e retornando apenas o tráfego normal filtrado para o usuário e qualquer aplicativo sniffer em potencial que possa estar instalado.