Súng cao su APT

Slingshot APT là tên được đặt cho một nhóm tin tặc rất tinh vi chịu trách nhiệm triển khai một mối đe dọa xâm nhập dữ liệu phức tạp. Do tính chất hoạt động của nó. Các nhà nghiên cứu infosec tin rằng mục tiêu của Slingshot APT là hoạt động gián điệp của công ty. Các phương pháp mà tin tặc sử dụng cho thấy họ đã dành thời gian đáng kể để tạo ra bộ công cụ phần mềm độc hại của mình. Các hoạt động của nhóm đã tiếp tục từ năm 2012 đến ít nhất là năm 2018.

Nền tảng tấn công do Slingshot thiết lập bao gồm nhiều giai đoạn và một số vectơ thỏa hiệp. Một phương pháp được xác nhận là thông qua bộ định tuyến Mikrotik đã được sửa đổi để bao gồm một thành phần bị hỏng được tải xuống bởi Winbox Loader, một phần mềm quản lý hợp pháp được sử dụng cho cấu hình Mikrotik. Khi người dùng chạy Winbox Loader, nó sẽ kết nối với các bộ định tuyến bị xâm nhập và tải các tệp Thư viện động (.DLL) bị nhiễm vào máy tính của nạn nhân. Một trong các tệp .DLL có tên 'ipv4.dll' hoạt động như một ống nhỏ giọt cho các mô-đun phần mềm độc hại bổ sung bằng cách kết nối với một cổng và IP được mã hóa cứng. Thư viện Windows hợp pháp 'scesrv.dll' sẽ được thay thế bằng một bộ giả bị hỏng có cùng kích thước.

Phần lớn hoạt động có hại được thực hiện bởi hai mô-đun phức tạp có tên 'Cahnadr' và 'GollumApp' hoạt động song song với nhau. 'Cahnadr,' còn được gọi là Ndriver, là một mô-đun nhân chịu trách nhiệm về các quy trình mạng cấp thấp, hoạt động IO, v.v. Để nhúng mã của nó ở cấp nhân, Slingshot lạm dụng các trình điều khiển hợp pháp với các lỗ hổng đã biết bằng cách tải chúng và chạy mã của nó thông qua các lỗ hổng bảo mật (chẳng hạn như CVE-2007-5633, CVE-2010-1592 và CVE-2009-0824). Có được quyền truy cập ở cấp độ hệ thống thấp như vậy cho phép tin tặc có quyền kiểm soát gần như vô hạn đối với các máy tính bị xâm nhập. Những kẻ tấn công có thể dễ dàng vượt qua bất kỳ biện pháp bảo vệ nào được thực hiện bởi nạn nhân. Cần phải lưu ý rằng 'Cahnadr' có khả năng thực hiện các chức năng đe dọa của nó mà không làm hỏng hệ thống hoặc gây ra màn hình lỗi màu xanh lam.

Mô-đun Slingshot khác - GollumApp, phức tạp hơn nhiều, bao gồm hơn 1500 chức năng do người dùng xác định. Nó được giao nhiệm vụ thiết lập cơ chế tồn tại của mối đe dọa, thao tác hệ thống tệp trên thiết bị bị xâm nhập, cũng như xử lý giao tiếp với cơ sở hạ tầng Command-and-Control (C2, C&C).

Slingshot thu thập một lượng lớn thông tin từ các hệ thống bị xâm nhập. Phần mềm độc hại có thể lấy dữ liệu bàn phím, dữ liệu mạng, kết nối USB, mật khẩu, tên người dùng, truy cập vào khay nhớ tạm, chụp ảnh màn hình, v.v. Thực tế là Slingshot có quyền truy cập cấp hạt nhân có nghĩa là những kẻ tấn công có thể thu thập bất cứ thứ gì chúng muốn, chẳng hạn như tín dụng / chi tiết thẻ ghi nợ, số an sinh xã hội và mật khẩu. Tất cả dữ liệu thu thập được sẽ được lọc qua các kênh mạng tiêu chuẩn. Phần mềm độc hại ẩn lưu lượng truy cập bất thường của nó trong các cuộc gọi lại hợp pháp, thực hiện kiểm tra bất kỳ gói Slingshot nào và chỉ trả lại lưu lượng truy cập bình thường đã lọc cho người dùng và bất kỳ ứng dụng dò tìm tiềm năng nào có thể được cài đặt.