Prak APT

Slingshot APT je názov pre vysoko sofistikovanú skupinu hackerov zodpovedných za nasadenie komplexnej hrozby úniku dát. Vzhľadom na charakter svojej činnosti. Výskumníci z infosec sa domnievajú, že cieľom Slingshot APT je firemná špionáž. Metódy, ktoré hackeri používajú, ukazujú, že strávili veľa času vytváraním svojej sady nástrojov pre malvér. Činnosť skupiny pokračovala od roku 2012 minimálne do roku 2018.

Útočná platforma vytvorená Slingshotom zahŕňa viacero fáz a niekoľko vektorov kompromisu. Jedna potvrdená metóda bola prostredníctvom smerovačov Mikrotik, ktoré boli upravené tak, aby obsahovali poškodený komponent stiahnutý Winbox Loader, legitímny softvér na správu používaný na konfiguráciu Mikrotiku. Keď používateľ spustí Winbox Loader, pripojí sa k napadnutým smerovačom a stiahne infikované súbory Dynamic LibraryFiles (.DLL) do počítača obete. Jeden zo súborov .DLL s názvom 'ipv4.dll' funguje ako kvapkadlo pre ďalšie moduly škodlivého softvéru pripojením k pevne zakódovanej IP a portu. Legitímna knižnica Windows 'scesrv.dll' bude nahradená poškodeným uchádzačom, ktorý má presne rovnakú veľkosť.

Väčšinu škodlivej činnosti vykonávajú dva sofistikované moduly s názvom „Cahnadr“ a „GollumApp“, ktoré pracujú v tandeme. 'Cahnadr', tiež známy ako Ndriver, je modul jadra zodpovedný za nízkoúrovňové sieťové rutiny, IO operácie atď. Na vloženie svojho kódu na úroveň jadra Slingshot zneužíva legitímne ovládače so známymi zraniteľnosťami tým, že ich načítava a spúšťa cez zraniteľnosti (ako napríklad CVE-2007-5633, CVE-2010-1592 a CVE-2009-0824). Získanie prístupu na tak nízkej úrovni systému umožňuje hackerom mať takmer neobmedzenú kontrolu nad napadnutými počítačmi. Útočníci by mohli ľahko obísť akúkoľvek ochranu implementovanú obeťou. Je potrebné poznamenať, že „Cahnadr“ je schopný vykonávať svoje ohrozujúce funkcie bez zrútenia systému alebo bez spôsobenia modrej obrazovky s chybou.

Ďalší modul Slingshot – GollumApp, je oveľa komplexnejší a obsahuje viac ako 1500 užívateľsky definovaných funkcií. Má za úlohu nastaviť mechanizmus pretrvávania hrozby, manipuláciu so súborovým systémom na napadnutom zariadení, ako aj obsluhu komunikácie s infraštruktúrou Command-and-Control (C2, C&C).

Slingshot zhromažďuje značné množstvo informácií z napadnutých systémov. Malvér môže získať údaje z klávesnice, sieťové údaje, pripojenia USB, heslá, používateľské mená, pristupovať do schránky, robiť snímky obrazovky atď. Skutočnosť, že Slingshot má prístup na úrovni jadra, znamená, že útočníci môžu potenciálne zbierať čokoľvek, čo chcú, napríklad kredit/ údaje o debetných kartách, čísla sociálneho poistenia a heslá. Všetky zhromaždené údaje sú exfiltrované cez štandardné sieťové kanály. Malvér skrýva svoju abnormálnu premávku v legitímnych spätných volaniach, vykonáva kontroly všetkých balíkov Slingshot a používateľovi a všetkým potenciálnym snifferovým aplikáciám, ktoré môžu byť nainštalované, vracia iba filtrovanú normálnu prevádzku.