Slingshot APT

Slingshot APT ist der Name einer hoch entwickelten Gruppe von Hackern, die für die Bereitstellung einer komplexen Bedrohung durch Datenexfiltration verantwortlich sind. Aufgrund der Art seiner Aktivitäten. Infosec-Forscher glauben, dass das Ziel des Slingshot APT Unternehmensspionage ist. Die von den Hackern verwendeten Methoden zeigen, dass sie viel Zeit damit verbracht haben, ihr Malware-Toolkit zu erstellen. Die Aktivitäten der Gruppe wurden von 2012 bis mindestens 2018 fortgesetzt.

Die von Slingshot eingerichtete Angriffsplattform umfasst mehrere Stufen und mehrere Kompromissvektoren. Eine bestätigte Methode waren Mikrotik-Router, die so geändert wurden, dass sie eine beschädigte Komponente enthalten, die vom Winbox Loader heruntergeladen wurde, einer legitimen Verwaltungssoftware, die für die Mikrotik-Konfiguration verwendet wird. Wenn der Benutzer Winbox Loader ausführt, stellt er eine Verbindung zu den gefährdeten Routern her und lädt infizierte Dynamic LibraryFiles (.DLL) auf den Computer des Opfers herunter. Eine der DLL-Dateien mit dem Namen "ipv4.dll" fungiert als Dropper für zusätzliche Malware-Module, indem eine Verbindung zu einer fest codierten IP und einem fest codierten Port hergestellt wird. Die legitime Windows-Bibliothek 'scesrv.dll' wird durch einen beschädigten Pretender ersetzt, der genau dieselbe Größe hat.

Der Großteil der schädlichen Aktivitäten wird von zwei hoch entwickelten Modulen namens "Cahnadr" und "GollumApp" ausgeführt, die zusammenarbeiten. 'Cahnadr', auch bekannt als Ndriver, ist ein Kernelmodul, das für Netzwerkroutinen auf niedriger Ebene, E / A-Operationen usw. verantwortlich ist. Um seinen Code auf Kernelebene einzubetten, missbraucht Slingshot legitime Treiber mit bekannten Schwachstellen, indem es seinen Code lädt und durch die Sicherheitsanfälligkeiten (wie CVE-2007-5633, CVE-2010-1592 und CVE-2009-0824) laufen lässt. Durch den Zugriff auf einer so niedrigen Systemebene haben die Hacker nahezu unbegrenzte Kontrolle über die gefährdeten Computer. Die Angreifer könnten den vom Opfer implementierten Schutz leicht umgehen. Es muss beachtet werden, dass 'Cahnadr' in der Lage ist, seine Bedrohungsfunktionen auszuführen, ohne das System zum Absturz zu bringen oder einen blauen Fehlerbildschirm zu verursachen.

Das andere Slingshot-Modul - GollumApp - ist weitaus komplexer und umfasst über 1500 benutzerdefinierte Funktionen. Es hat die Aufgabe, den Persistenzmechanismus der Bedrohung einzurichten, das Dateisystem auf dem gefährdeten Gerät zu manipulieren und die Kommunikation mit der Command-and-Control-Infrastruktur (C2, C & C) zu verwalten.

Slingshot sammelt eine erhebliche Menge an Informationen von den kompromittierten Systemen. Die Malware kann Tastaturdaten, Netzwerkdaten, USB-Verbindungen, Kennwörter, Benutzernamen, Zugriff auf die Zwischenablage, Screenshots usw. abrufen. Die Tatsache, dass Slingshot über einen Zugriff auf Kernel-Ebene verfügt, bedeutet, dass die Angreifer möglicherweise alles sammeln können, was sie möchten, z. B. Guthaben / Debitkartendetails, Sozialversicherungsnummern und Passwörter. Alle gesammelten Daten werden über Standardnetzwerkkanäle exfiltriert. Die Malware verbirgt ihren abnormalen Datenverkehr in legitimen Rückrufen, führt Überprüfungen für Slingshot-Pakete durch und gibt nur den gefilterten normalen Datenverkehr an den Benutzer und eventuell installierte potenzielle Sniffer-Anwendungen zurück.