Рогатка APT

Slingshot APT – це ім’я, дане групі висококваліфікованих хакерів, відповідальних за розгортання складної загрози ексфільтрації даних. Через характер своєї діяльності. Дослідники infosec вважають, що метою Slingshot APT є корпоративне шпигунство. Методи, використані хакерами, показують, що вони витратили значний час на створення свого набору шкідливих програм. Діяльність групи тривала з 2012 по 2018 рік.

Платформа атаки, створена Slingshot, включає кілька етапів і кілька векторів компромісу. Одним із підтверджених методів було використання маршрутизаторів Mikrotik, які були модифіковані, щоб включити пошкоджений компонент, завантажений за допомогою Winbox Loader, законного програмного забезпечення для керування, яке використовується для конфігурації Mikrotik. Коли користувач запускає Winbox Loader, він підключається до зламаних маршрутизаторів і завантажує заражені Dynamic LibraryFiles (.DLL) на комп’ютер жертви. Один із файлів .DLL під назвою 'ipv4.dll' діє як засіб для видалення додаткових модулів шкідливого програмного забезпечення, підключаючись до жорстко закодованого IP і порту. Законна бібліотека Windows 'scesrv.dll' буде замінена пошкодженим претендентом, який має точно такий самий розмір.

Основна частина шкідливої діяльності виконується двома складними модулями «Cahnadr» і «GollumApp», які працюють у тандемі. «Cahnadr», також відомий як Ndriver, є модулем ядра, який відповідає за низькорівневі мережеві підпрограми, операції введення-виведення тощо. Щоб вставити свій код на рівні ядра, Slingshot зловживає законними драйверами з відомими вразливими місцями, завантажуючи їх та запускаючи свій код через уразливості (наприклад, CVE-2007-5633, CVE-2010-1592 і CVE-2009-0824). Отримання доступу на такому низькосистемному рівні дозволяє хакерам мати майже безмежний контроль над зламаними комп’ютерами. Зловмисники могли легко обійти будь-які засоби захисту, запроваджені жертвою. Слід зазначити, що «Cahnadr» здатний виконувати свої загрозливі функції без збоїв у роботі системи та без синього екрана помилки.

Інший модуль Slingshot - GollumApp, набагато складніший, включаючи понад 1500 функцій, визначених користувачем. На нього покладено завдання налаштувати механізм збереження загрози, маніпулювати файловою системою на зламаному пристрої, а також керувати зв’язком з інфраструктурою командно-контрольного (C2, C&C).

Slingshot збирає значну кількість інформації зі зламаних систем. Шкідливе програмне забезпечення може отримати дані клавіатури, мережеві дані, USB-з'єднання, паролі, імена користувачів, отримати доступ до буфера обміну, зробити знімки екрана тощо. Той факт, що Slingshot має доступ на рівні ядра, означає, що зловмисники потенційно можуть отримати все, що їм заманеться, наприклад кредит/ дані дебетової картки, номери соціального страхування та паролі. Усі зібрані дані ексфільтруються через стандартні мережеві канали. Зловмисне програмне забезпечення приховує свій ненормальний трафік у легітимних зворотних викликах, перевіряючи будь-які пакети Slingshot, і повертаючи лише відфільтрований звичайний трафік користувачеві та будь-яким потенційним програмам для аналізу, які можуть бути встановлені.