Slingshot APT

Slingshot APT, karmaşık bir veri hırsızlığı tehdidinin dağıtımından sorumlu, son derece gelişmiş bir hacker grubuna verilen addır. Faaliyetlerinin doğası gereği. infosec araştırmacıları, Slingshot APT'nin amacının kurumsal casusluk olduğuna inanıyor. Bilgisayar korsanları tarafından kullanılan yöntemler, kötü amaçlı yazılım araç setlerini oluşturmak için çok zaman harcadıklarını gösteriyor. Grubun faaliyetleri 2012 yılından en az 2018 yılına kadar devam etmiştir.

Slingshot tarafından kurulan saldırı platformu, birden fazla aşama ve birkaç uzlaşma vektörü içerir. Onaylanmış bir yöntem, Mikrotik yapılandırması için kullanılan meşru bir yönetim yazılımı olan Winbox Loader tarafından indirilen bozuk bir bileşeni içerecek şekilde değiştirilen Mikrotik yönlendiricileriydi. Kullanıcı Winbox Loader'ı çalıştırdığında, güvenliği ihlal edilmiş yönlendiricilere bağlanır ve virüslü Dynamic LibraryFiles'ı (.DLL) kurbanın bilgisayarına indirir. 'ipv4.dll' adlı .DLL dosyalarından biri, sabit kodlanmış bir IP ve bağlantı noktasına bağlanarak ek kötü amaçlı yazılım modülleri için bir damlalık görevi görür. Yasal Windows kitaplığı 'scesrv.dll', tam olarak aynı boyuta sahip bozuk bir taklitçi ile değiştirilecektir.

Zararlı aktivitenin büyük kısmı, birlikte çalışan 'Cahnadr' ve 'GollumApp' adlı iki karmaşık modül tarafından gerçekleştirilir. Ndriver olarak da bilinen 'Cahnadr', düşük seviyeli ağ rutinlerinden, IO işlemlerinden vb. sorumlu bir çekirdek modülüdür. Slingshot, kodunu çekirdek seviyesine gömmek için, bilinen güvenlik açıklarına sahip meşru sürücüleri yükleyerek ve kodunu çalıştırarak kötüye kullanır. güvenlik açıkları (CVE-2007-5633, CVE-2010-1592 ve CVE-2009-0824 gibi). Bu kadar düşük bir sistem seviyesinde erişim elde etmek, bilgisayar korsanlarının güvenliği ihlal edilmiş bilgisayarlar üzerinde neredeyse sınırsız kontrole sahip olmalarını sağlar. Saldırganlar, kurban tarafından uygulanan herhangi bir korumayı kolayca atlayabilir. Unutulmamalıdır ki 'Cahnadr' sistemi çökertmeden veya mavi bir hata ekranına neden olmadan tehdit edici işlevlerini yerine getirebilir.

Diğer Sapan modülü - GollumApp, 1500'den fazla kullanıcı tanımlı işlev dahil olmak üzere çok daha karmaşıktır. Tehdidin kalıcılık mekanizmasının kurulması, güvenliği ihlal edilen cihazdaki dosya sisteminin manipülasyonunun yanı sıra Komuta Kontrol (C2, C&C) altyapısı ile iletişimi yürütmekle görevlidir.

Slingshot, güvenliği ihlal edilmiş sistemlerden önemli miktarda bilgi toplar. Kötü amaçlı yazılım klavye verilerini, ağ verilerini, USB bağlantılarını, parolaları, kullanıcı adlarını alabilir, panoya erişebilir, ekran görüntüleri alabilir vb. Slingshot'ın çekirdek düzeyinde erişime sahip olması, saldırganların potansiyel olarak istedikleri her şeyi toplayabileceği anlamına gelir. banka kartı detayları, sosyal güvenlik numaraları ve şifreler. Toplanan tüm veriler standart ağ kanalları aracılığıyla sızdırılır. Kötü amaçlı yazılım, normal geri aramalarda anormal trafiğini gizler, herhangi bir Slingshot paketini kontrol eder ve yalnızca filtrelenmiş normal trafiği kullanıcıya ve kurulabilecek olası tüm sniffer uygulamalarını döndürür.

trend

En çok görüntülenen

Yükleniyor...