Slingshot APT

Slingshot APT 是对负责部署复杂数据泄露威胁的高度复杂的黑客团体的名称。由于其活动的性质。信息安全研究人员认为，Slingshot APT 的目标是企业间谍活动。黑客使用的方法表明，他们花了大量时间制作恶意软件工具包。该小组的活动从 2012 年一直持续到至少 2018 年。

Slingshot 建立的攻击平台涉及多个阶段和多个妥协向量。一种确认的方法是通过 Mikrotik 路由器，该路由器已被修改为包含 Winbox Loader 下载的损坏组件，Winbox Loader 是用于 Mikrotik 配置的合法管理软件。当用户运行 Winbox Loader 时，它会连接到受感染的路由器并将受感染的动态库文件 (.DLL) 下载到受害者的计算机上。名为“ipv4.dll”的 .DLL 文件之一通过连接到硬编码的 IP 和端口充当附加恶意软件模块的投放器。合法的 Windows 库“scesrv.dll”将被替换为大小完全相同的损坏的伪装程序。

大部分有害活动是由两个名为“Cahnadr”和“GollumApp”的复杂模块协同工作执行的。 “Cahnadr”，也称为 Ndriver，是一个内核模块，负责低级网络例程、IO 操作等。为了将其代码嵌入内核级别，Slingshot 通过加载并运行其代码来滥用具有已知漏洞的合法驱动程序漏洞（例如 CVE-2007-5633、CVE-2010-1592 和 CVE-2009-0824）。在如此低的系统级别获得访问权限允许黑客对受感染的计算机进行近乎无限的控制。攻击者可以轻松绕过受害者实施的任何保护措施。必须注意的是，'Cahnadr' 能够执行其威胁功能而不会使系统崩溃或导致蓝色错误屏幕。

另一个 Slingshot 模块 - GollumApp，要复杂得多，包括 1500 多个用户定义的函数。它的任务是设置威胁的持久性机制，操纵受感染设备上的文件系统，以及处理与命令和控制（C2、C&C）基础设施的通信。

Slingshot 从受感染的系统中收集大量信息。该恶意软件可以获取键盘数据、网络数据、USB 连接、密码、用户名、访问剪贴板、截屏等。 Slingshot 具有内核级访问权限的事实意味着攻击者可能会收集他们想要的任何东西，例如信用/借记卡详细信息、社会安全号码和密码。所有收集的数据都通过标准网络渠道泄露。恶意软件将其异常流量隐藏在合法的回调中，对任何 Slingshot 包执行检查，并仅将过滤后的正常流量返回给用户和可能安装的任何潜在嗅探器应用程序。