Slingshot APT

Slingshot APT 是對負責部署複雜數據洩露威脅的高度複雜的黑客團體的名稱。由於其活動的性質。信息安全研究人員認為,Slingshot APT 的目標是企業間諜活動。黑客使用的方法表明,他們花了大量時間製作惡意軟件工具包。該小組的活動從 2012 年一直持續到至少 2018 年。

Slingshot 建立的攻擊平台涉及多個階段和多個妥協向量。一種確認的方法是通過 Mikrotik 路由器,該路由器已被修改為包含 Winbox Loader 下載的損壞組件,Winbox Loader 是用於 Mikrotik 配置的合法管理軟件。當用戶運行 Winbox Loader 時,它會連接到受感染的路由器並將受感染的動態庫文件 (.DLL) 下載到受害者的計算機上。其中一個名為“ipv4.dll”的 .DLL 文件通過連接到硬編碼的 IP 和端口充當其他惡意軟件模塊的投放器。合法的 Windows 庫“scesrv.dll”將被替換為大小完全相同的損壞的偽裝程序。

大部分有害活動是由兩個名為“Cahnadr”和“GollumApp”的複雜模塊協同工作執行的。 “Cahnadr”,也稱為 Ndriver,是一個內核模塊,負責低級網絡例程、IO 操作等。為了將其代碼嵌入內核級別,Slingshot 通過加載並運行其代碼來濫用具有已知漏洞的合法驅動程序漏洞(例如 CVE-2007-5633、CVE-2010-1592 和 CVE-2009-0824)。在如此低的系統級別獲得訪問權限允許黑客對受感染的計算機進行近乎無限的控制。攻擊者可以輕鬆繞過受害者實施的任何保護措施。必須注意的是,'Cahnadr' 能夠執行其威脅功能而不會使系統崩潰或導致藍色錯誤屏幕。

另一個 Slingshot 模塊 - GollumApp,要復雜得多,包括 1500 多個用戶定義的函數。它的任務是設置威脅的持久性機制,操縱受感染設備上的文件系統,以及處理與命令和控制(C2、C&C)基礎設施的通信。

Slingshot 從受感染的系統中收集大量信息。該惡意軟件可以獲取鍵盤數據、網絡數據、USB 連接、密碼、用戶名、訪問剪貼板、截屏等。 Slingshot 具有內核級訪問權限的事實意味著攻擊者可能會收集他們想要的任何東西,例如信用/借記卡詳細信息、社會安全號碼和密碼。所有收集的數據都通過標準網絡渠道洩露。惡意軟件將其異常流量隱藏在合法的回調中,對任何 Slingshot 包執行檢查,並僅將過濾後的正常流量返回給用戶和可能安裝的任何潛在嗅探器應用程序。

熱門

最受關注

加載中...