Slingshot APT

Slingshot APT este numele dat unui grup extrem de sofisticat de hackeri responsabili de implementarea unei amenințări complexe de exfiltrare a datelor. Datorită naturii activităților sale. Cercetătorii infosec consideră că scopul Slingshot APT este spionajul corporativ. Metodele folosite de hackeri arată că aceștia au petrecut timp considerabil creându-și setul de instrumente malware. Activitățile grupului au continuat din 2012 până cel puțin în 2018.

Platforma de atac stabilită de Slingshot implică mai multe etape și mai mulți vectori de compromis. O metodă confirmată a fost prin routerele Mikrotik care au fost modificate pentru a include o componentă coruptă descărcată de Winbox Loader, un software de management legitim utilizat pentru configurarea Mikrotik. Când utilizatorul rulează Winbox Loader, acesta se conectează la routerele compromise și descarcă Dynamic LibraryFiles (.DLL) infectate pe computerul victimei. Unul dintre fișierele .DLL denumit „ipv4.dll” acționează ca un dropper pentru modulele malware suplimentare prin conectarea la un IP și un port codificat. Biblioteca legitimă Windows „scesrv.dll” va fi înlocuită cu un pretendent corupt care are exact aceeași dimensiune.

Cea mai mare parte a activității dăunătoare este realizată de două module sofisticate numite „Cahnadr” și „GollumApp”, care funcționează în tandem. „Cahnadr”, cunoscut și sub numele de Ndriver, este un modul de kernel responsabil pentru rutinele de rețea de nivel scăzut, operațiunile IO etc. Pentru a-și încorpora codul la nivel de kernel, Slingshot abuzează de driverele legitime cu vulnerabilități cunoscute, încărcându-le și rulând codul prin vulnerabilitățile (cum ar fi CVE-2007-5633, CVE-2010-1592 și CVE-2009-0824). Obținerea accesului la un nivel atât de scăzut de sistem permite hackerilor să aibă un control aproape nelimitat asupra computerelor compromise. Atacatorii ar putea ocoli cu ușurință orice protecție implementată de victimă. Trebuie remarcat faptul că „Cahnadr” este capabil să își îndeplinească funcțiile amenințătoare fără să blocheze sistemul sau să provoace un ecran de eroare albastru.

Celălalt modul Slingshot - GollumApp, este mult mai complex, incluzând peste 1500 de funcții definite de utilizator. Are sarcina de a seta mecanismul de persistență al amenințării, de manipulare a sistemului de fișiere pe dispozitivul compromis, precum și de a gestiona comunicarea cu infrastructura Command-and-Control (C2, C&C).

Slingshot colectează o cantitate semnificativă de informații de la sistemele compromise. Malware-ul poate obține date de la tastatură, date de rețea, conexiuni USB, parole, nume de utilizator, poate accesa clipboard-ul, face capturi de ecran etc. Faptul că Slingshot are acces la nivel de kernel înseamnă că atacatorii ar putea colecta orice doresc, cum ar fi credit/ detaliile cardului de debit, numerele de securitate socială și parolele. Toate datele colectate sunt exfiltrate prin canalele de rețea standard. Malware-ul își ascunde traficul anormal în apeluri legitime, efectuând verificări pentru orice pachet Slingshot și returnând utilizatorului numai traficul normal filtrat și orice potențiale aplicații de sniffer care ar putea fi instalate.