Рогатка АПТ

Slingshot APT — это имя, данное группе высококвалифицированных хакеров, ответственных за развертывание сложной угрозы кражи данных. По характеру своей деятельности. Исследователи информационной безопасности считают, что целью Slingshot APT является корпоративный шпионаж. Методы, используемые хакерами, показывают, что они потратили много времени на создание своего набора вредоносных программ. Деятельность группы продолжалась с 2012 по 2018 год.

Платформа атаки, созданная Slingshot, включает в себя несколько этапов и несколько векторов компрометации. Один из подтвержденных методов — через маршрутизаторы Mikrotik, которые были модифицированы, чтобы включить поврежденный компонент, загруженный Winbox Loader, законным программным обеспечением для управления, используемым для настройки Mikrotik. Когда пользователь запускает Winbox Loader, он подключается к скомпрометированным маршрутизаторам и загружает зараженные файлы Dynamic LibraryFiles (.DLL) на компьютер жертвы. Один из файлов .DLL с именем «ipv4.dll» действует как дроппер для дополнительных вредоносных модулей, подключаясь к жестко заданному IP-адресу и порту. Легальная библиотека Windows scesrv.dll будет заменена поврежденным претендентом точно такого же размера.

Основная часть вредоносной деятельности выполняется двумя сложными модулями под названием «Cahnadr» и «GollumApp», которые работают в тандеме. «Cahnadr», также известный как Ndriver, представляет собой модуль ядра, отвечающий за низкоуровневые сетевые процедуры, операции ввода-вывода и т. д. Чтобы внедрить свой код на уровне ядра, Slingshot злоупотребляет законными драйверами с известными уязвимостями, загружая их и запуская свой код через уязвимости (такие как CVE-2007-5633, CVE-2010-1592 и CVE-2009-0824). Получение доступа на таком низком системном уровне позволяет хакерам иметь почти неограниченный контроль над скомпрометированными компьютерами. Злоумышленники могут легко обойти любую защиту, реализованную жертвой. Следует отметить, что «Cahnadr» способен выполнять свои угрожающие функции, не вызывая сбоя системы или появления синего экрана ошибки.

Другой модуль Slingshot — GollumApp — намного сложнее и включает более 1500 пользовательских функций. Ему поручено настроить механизм сохраняемости угрозы, манипулировать файловой системой на скомпрометированном устройстве, а также управлять связью с инфраструктурой управления и контроля (C2, C&C).

Slingshot собирает значительный объем информации из скомпрометированных систем. Вредоносное ПО может получать данные клавиатуры, сетевые данные, USB-подключения, пароли, имена пользователей, получать доступ к буферу обмена, делать снимки экрана и т. д. Тот факт, что Slingshot имеет доступ на уровне ядра, означает, что злоумышленники потенциально могут собирать все, что захотят, например кредит/ данные дебетовой карты, номера социального страхования и пароли. Все собранные данные эксфильтрируются через стандартные сетевые каналы. Вредоносное ПО скрывает свой аномальный трафик в легитимных обратных вызовах, выполняя проверки любых пакетов Slingshot и возвращая пользователю и любым потенциальным приложениям-снифферам, которые могут быть установлены, только отфильтрованный обычный трафик.