หนังสติ๊ก APT

Slingshot APT เป็นชื่อที่มอบให้กับกลุ่มแฮกเกอร์ที่มีความซับซ้อนสูง ซึ่งรับผิดชอบในการปรับใช้ภัยคุกคามจากการขโมยข้อมูลที่ซับซ้อน เนื่องจากลักษณะของกิจกรรม นักวิจัยของ infosec เชื่อว่าเป้าหมายของ Slingshot APT คือการจารกรรมขององค์กร วิธีการที่แฮ็กเกอร์ใช้แสดงให้เห็นว่าพวกเขาใช้เวลามากในการสร้างชุดเครื่องมือมัลแวร์ กิจกรรมของกลุ่มได้ดำเนินต่อไปตั้งแต่ปี 2555 ถึงอย่างน้อยปี 2561

แพลตฟอร์มการโจมตีที่สร้างโดย Slingshot นั้นเกี่ยวข้องกับหลายขั้นตอนและการประนีประนอมหลายประการ วิธีหนึ่งที่ได้รับการยืนยันคือผ่านเราเตอร์ Mikrotik ที่ได้รับการแก้ไขเพื่อรวมส่วนประกอบที่เสียหายซึ่งดาวน์โหลดโดย Winbox Loader ซึ่งเป็นซอฟต์แวร์การจัดการที่ถูกต้องตามกฎหมายซึ่งใช้สำหรับการกำหนดค่า Mikrotik เมื่อผู้ใช้เรียกใช้ Winbox Loader จะเชื่อมต่อกับเราเตอร์ที่ถูกบุกรุกและดาวน์โหลด Dynamic LibraryFiles (.DLL) ที่ติดไวรัสลงในคอมพิวเตอร์ของเหยื่อ หนึ่งในไฟล์ .DLL ชื่อ 'ipv4.dll' ทำหน้าที่เป็นหยดสำหรับโมดูลมัลแวร์เพิ่มเติมโดยเชื่อมต่อกับ IP ฮาร์ดโค้ดและพอร์ต 'scesrv.dll' ไลบรารี Windows ที่ถูกต้องจะถูกแทนที่ด้วยตัวอ้างสิทธิ์ที่เสียหายซึ่งมีขนาดเท่ากันทุกประการ

กิจกรรมที่เป็นอันตรายส่วนใหญ่ดำเนินการโดยโมดูลที่ซับซ้อนสองโมดูลชื่อ 'Cahnadr' และ 'GollumApp' ซึ่งทำงานควบคู่กัน 'Cahnadr' หรือที่เรียกว่า Ndriver เป็นโมดูลเคอร์เนลที่รับผิดชอบสำหรับรูทีนเครือข่ายระดับต่ำ การทำงานของ IO เป็นต้น ในการฝังโค้ดที่ระดับเคอร์เนล Slingshot จะใช้ไดรเวอร์ที่ถูกต้องตามกฎหมายที่มีช่องโหว่ที่ทราบโดยโหลดและรันโค้ดผ่าน ช่องโหว่ (เช่น CVE-2007-5633, CVE-2010-1592 และ CVE-2009-0824) การเข้าถึงในระดับระบบต่ำดังกล่าวทำให้แฮกเกอร์สามารถควบคุมคอมพิวเตอร์ที่ถูกบุกรุกได้เกือบไร้ขีดจำกัด ผู้โจมตีสามารถเลี่ยงการป้องกันที่เหยื่อนำไปใช้ได้อย่างง่ายดาย ต้องสังเกตว่า 'Cahnadr' สามารถทำหน้าที่คุกคามโดยไม่ทำให้ระบบขัดข้องหรือทำให้เกิดหน้าจอข้อผิดพลาดสีน้ำเงิน

โมดูลหนังสติ๊กอื่น ๆ - GollumApp นั้นซับซ้อนกว่ามาก รวมถึงฟังก์ชั่นที่ผู้ใช้กำหนดเองมากกว่า 1,500 รายการ มีหน้าที่ในการตั้งค่ากลไกการคงอยู่ของภัยคุกคาม การจัดการระบบไฟล์บนอุปกรณ์ที่ถูกบุกรุก ตลอดจนการจัดการการสื่อสารด้วยโครงสร้างพื้นฐาน Command-and-Control (C2, C&C)

หนังสติ๊กรวบรวมข้อมูลจำนวนมากจากระบบที่ถูกบุกรุก มัลแวร์สามารถรับข้อมูลแป้นพิมพ์ ข้อมูลเครือข่าย การเชื่อมต่อ USB รหัสผ่าน ชื่อผู้ใช้ เข้าถึงคลิปบอร์ด ถ่ายภาพหน้าจอ ฯลฯ ความจริงที่ว่า Slingshot มีการเข้าถึงระดับเคอร์เนลหมายความว่าผู้โจมตีอาจรวบรวมสิ่งที่พวกเขาต้องการ เช่น เครดิต/ รายละเอียดบัตรเดบิต หมายเลขประกันสังคม และรหัสผ่าน ข้อมูลที่รวบรวมทั้งหมดจะถูกกรองผ่านช่องทางเครือข่ายมาตรฐาน มัลแวร์ซ่อนทราฟฟิกที่ผิดปกติในการเรียกกลับที่ถูกต้อง ตรวจสอบแพ็คเกจ Slingshot และส่งกลับเฉพาะทราฟฟิกปกติที่กรองไปยังผู้ใช้และแอปพลิเคชั่นดักจับที่อาจติดตั้ง