Llastiqe APT

Slingshot APT është emri që i është dhënë një grupi shumë të sofistikuar hakerash përgjegjës për vendosjen e një kërcënimi kompleks të eksfiltrimit të të dhënave. Për shkak të natyrës së aktiviteteve të saj. Studiuesit e infosec besojnë se qëllimi i Slingshot APT është spiunazhi i korporatës. Metodat e përdorura nga hakerët tregojnë se ata kanë shpenzuar kohë të konsiderueshme për të krijuar paketën e tyre të veglave të malware. Aktivitetet e grupit kanë vazhduar nga viti 2012 deri në të paktën 2018.

Platforma e sulmit e krijuar nga Slingshot përfshin faza të shumta dhe disa vektorë kompromisi. Një metodë e konfirmuar ishte nëpërmjet ruterave Mikrotik që janë modifikuar për të përfshirë një komponent të dëmtuar të shkarkuar nga Winbox Loader, një softuer legjitim menaxhimi i përdorur për konfigurimin e Mikrotik. Kur përdoruesi drejton Winbox Loader, ai lidhet me ruterat e komprometuar dhe shkarkon skedarët e infektuar Dynamic Library (.DLL) në kompjuterin e viktimës. Një nga skedarët .DLL i quajtur 'ipv4.dll' vepron si pikatore për modulet shtesë të malware duke u lidhur me një IP dhe port të koduar. Biblioteka legjitime e Windows 'scesrv.dll' do të zëvendësohet me një pretendues të korruptuar që ka të njëjtën madhësi.

Pjesa më e madhe e aktivitetit të dëmshëm kryhet nga dy module të sofistikuara të quajtura 'Cahnadr' dhe 'GollumApp' që funksionojnë së bashku. 'Cahnadr', i njohur gjithashtu si Ndriver, është një modul kernel përgjegjës për rutinat e rrjetit të nivelit të ulët, operacionet IO, etj. Për të futur kodin e tij në nivelin e kernelit, Slingshot abuzon drejtuesit legjitimë me dobësi të njohura duke i ngarkuar ata dhe duke ekzekutuar kodin e tij përmes dobësitë (të tilla si CVE-2007-5633, CVE-2010-1592 dhe CVE-2009-0824). Marrja e aksesit në një nivel kaq të ulët të sistemit i lejon hakerët të kenë kontroll pothuajse të pakufishëm mbi kompjuterët e komprometuar. Sulmuesit mund të anashkalonin lehtësisht çdo mbrojtje të zbatuar nga viktima. Duhet të theksohet se 'Cahnadr' është në gjendje të kryejë funksionet e tij kërcënuese pa prishur sistemin ose pa shkaktuar një ekran blu të gabimit.

Moduli tjetër Slingshot - GollumApp, është shumë më kompleks, duke përfshirë mbi 1500 funksione të përcaktuara nga përdoruesi. Ai ka për detyrë vendosjen e mekanizmit të qëndrueshmërisë së kërcënimit, manipulimin e sistemit të skedarëve në pajisjen e komprometuar, si dhe trajtimin e komunikimit me infrastrukturën Command-and-Control (C2, C&C).

Slingshot mbledh një sasi të konsiderueshme informacioni nga sistemet e komprometuara. Malware mund të marrë të dhëna të tastierës, të dhëna rrjeti, lidhje USB, fjalëkalime, emra përdoruesi, të hyjë në kujtesën e fragmenteve, të marrë pamje nga ekrani, etj. Fakti që Slingshot ka akses në nivel kernel do të thotë që sulmuesit mund të mbledhin çdo gjë që duan, si kredi/ detajet e kartës së debitit, numrat e sigurimeve shoqërore dhe fjalëkalimet. Të gjitha të dhënat e mbledhura ekfiltohen përmes kanaleve standarde të rrjetit. Malware fsheh trafikun e tij jonormal në thirrjet legjitime, duke kryer kontrolle për çdo paketë Slingshot dhe duke i kthyer përdoruesit vetëm trafikun normal të filtruar dhe çdo aplikacion të mundshëm sniffer që mund të instalohet.