Slingshot APT

Slingshot APT är namnet som ges till en mycket sofistikerad grupp hackare som ansvarar för utplaceringen av ett komplext dataexfiltreringshot. På grund av arten av dess verksamhet. infosec-forskare tror att målet med Slingshot APT är företagsspionage. De metoder som hackarna använder visar att de har lagt ner mycket tid på att skapa sin verktygslåda för skadlig programvara. Gruppens verksamhet har fortsatt från 2012 till åtminstone 2018.

Attackplattformen som etablerats av Slingshot involverar flera steg och flera vektorer för kompromisser. En bekräftad metod var genom Mikrotik-routrar som har modifierats för att inkludera en skadad komponent nedladdad av Winbox Loader, en legitim hanteringsprogramvara som används för Mikrotik-konfiguration. När användaren kör Winbox Loader ansluter den till de komprometterade routrarna och laddar ner infekterade Dynamic LibraryFiles (.DLL) till offrets dator. En av .DLL-filerna med namnet 'ipv4.dll' fungerar som en droppe för ytterligare skadlig programvara genom att ansluta till en hårdkodad IP och port. Det legitima Windows-biblioteket 'scesrv.dll' kommer att ersättas med en skadad pretender som har exakt samma storlek.

Huvuddelen av den skadliga aktiviteten utförs av två sofistikerade moduler som heter 'Cahnadr' och 'GollumApp' som fungerar tillsammans. 'Cahnadr', även känd som Ndriver, är en kärnmodul som ansvarar för nätverksrutiner på låg nivå, IO-operationer, etc. För att bädda in sin kod på kärnnivån missbrukar Slingshot legitima drivrutiner med kända sårbarheter genom att ladda dem och köra sin kod via sårbarheterna (som CVE-2007-5633, CVE-2010-1592 och CVE-2009-0824). Genom att få åtkomst på en så låg systemnivå kan hackarna ha nästan obegränsad kontroll över de komprometterade datorerna. Angriparna kunde enkelt kringgå alla skydd som offret implementerat. Det måste noteras att 'Cahnadr' kan utföra sina hotfulla funktioner utan att krascha systemet eller orsaka en blå felskärm.

Den andra Slingshot-modulen - GollumApp, är mycket mer komplex, inklusive över 1500 användardefinierade funktioner. Den har till uppgift att ställa in hotets beständighetsmekanism, manipulering av filsystemet på den komprometterade enheten, samt hantera kommunikationen med Command-and-Control (C2, C&C) infrastrukturen.

Slingshot samlar in en betydande mängd information från de komprometterade systemen. Skadlig programvara kan få tangentbordsdata, nätverksdata, USB-anslutningar, lösenord, användarnamn, komma åt urklipp, ta skärmdumpar, etc. Det faktum att Slingshot har åtkomst på kärnnivå innebär att angriparna potentiellt kan samla in vad de vill, till exempel kredit/ betalkortsuppgifter, personnummer och lösenord. All insamlad data exfiltreras genom vanliga nätverkskanaler. Skadlig programvara döljer sin onormala trafik i legitima återuppringningar, utför kontroller för eventuella Slingshot-paket och returnerar endast den filtrerade normala trafiken till användaren och eventuella snifferapplikationer som kan installeras.