Tirador APT

Ang Slingshot APT ay ang pangalang ibinigay sa isang napaka-sopistikadong pangkat ng mga hacker na responsable para sa pag-deploy ng isang kumplikadong banta sa pag-exfiltration ng data. Dahil sa likas na katangian ng mga aktibidad nito. Naniniwala ang mga mananaliksik ng infosec na ang layunin ng Slingshot APT ay corporate espionage. Ang mga pamamaraan na ginamit ng mga hacker ay nagpapakita na sila ay gumugol ng malaking oras sa paggawa ng kanilang malware toolkit. Ang mga aktibidad ng grupo ay nagpatuloy mula 2012 hanggang sa hindi bababa sa 2018.

Ang platform ng pag-atake na itinatag ng Slingshot ay nagsasangkot ng maraming yugto at ilang vectors ng kompromiso. Ang isang nakumpirmang paraan ay sa pamamagitan ng mga router ng Mikrotik na binago upang isama ang isang sira na bahagi na na-download ng Winbox Loader, isang lehitimong software ng pamamahala na ginagamit para sa pagsasaayos ng Mikrotik. Kapag pinatakbo ng user ang Winbox Loader, kumokonekta ito sa mga nakompromisong router at nagda-download ng mga nahawaang Dynamic LibraryFiles (.DLL) sa computer ng biktima. Ang isa sa mga .DLL file na pinangalanang 'ipv4.dll' ay gumaganap bilang isang dropper para sa karagdagang mga module ng malware sa pamamagitan ng pagkonekta sa isang hardcoded na IP at port. Ang lehitimong Windows library na 'scesrv.dll' ay papalitan ng isang sira na nagpapanggap na may eksaktong parehong laki.

Ang karamihan ng mapaminsalang aktibidad ay ginagawa ng dalawang sopistikadong module na pinangalanang 'Cahnadr' at 'GollumApp' na gumagana nang magkasabay. Ang 'Cahnadr,' na kilala rin bilang Ndriver, ay isang kernel module na responsable para sa mababang antas ng network routines, IO operations, atbp. Upang i-embed ang code nito sa kernel level, inaabuso ng Slingshot ang mga lehitimong driver na may alam na mga kahinaan sa pamamagitan ng pag-load sa kanila at pagpapatakbo ng code nito sa pamamagitan ng ang mga kahinaan (gaya ng CVE-2007-5633, CVE-2010-1592, at CVE-2009-0824). Ang pagkakaroon ng access sa ganoong mababang antas ng system ay nagbibigay-daan sa mga hacker na magkaroon ng halos walang limitasyong kontrol sa mga nakompromisong computer. Ang mga umaatake ay madaling makalampas sa anumang mga proteksyon na ipinatupad ng biktima. Dapat tandaan na ang 'Cahnadr' ay may kakayahang magsagawa ng mga nagbabantang function nito nang hindi nag-crash sa system o nagdudulot ng asul na screen ng error.

Ang iba pang module ng Slingshot - GollumApp, ay mas kumplikado, kabilang ang higit sa 1500 na mga function na tinukoy ng gumagamit. Ito ay nakatalaga sa pag-set up ng mekanismo ng pagtitiyaga ng pagbabanta, ang pagmamanipula ng file system sa nakompromisong device, pati na rin ang paghawak ng komunikasyon sa imprastraktura ng Command-and-Control (C2, C&C).

Nangongolekta ang Slingshot ng malaking halaga ng impormasyon mula sa mga nakompromisong system. Ang malware ay maaaring makakuha ng data ng keyboard, data ng network, USB na koneksyon, password, username, i-access ang clipboard, kumuha ng mga screenshot, atbp. Ang katotohanan na ang Slingshot ay may kernel-level na access ay nangangahulugan na ang mga umaatake ay maaaring mangolekta ng anumang gusto nila, tulad ng credit/ mga detalye ng debit card, mga numero ng social security at password. Ang lahat ng nakalap na data ay na-exfiltrate sa pamamagitan ng mga karaniwang channel ng network. Itinatago ng malware ang abnormal nitong trapiko sa mga lehitimong call-back, nagsasagawa ng mga pagsusuri para sa anumang mga pakete ng Slingshot, at ibinabalik lamang ang na-filter na normal na trapiko sa user at anumang potensyal na sniffer application na maaaring mai-install.