Slingshot APT

Slingshot APTは、複雑なデータ漏洩の脅威の展開を担当する非常に洗練されたハッカーのグループに付けられた名前です。その活動の性質のため。 infosecの研究者は、SlingshotAPTの目標は企業スパイであると信じています。ハッカーが使用した方法は、マルウェアツールキットの作成にかなりの時間を費やしたことを示しています。グループの活動は2012年から少なくとも2018年まで続いています。

Slingshotによって確立された攻撃プラットフォームには、複数の段階といくつかの侵害のベクトルが含まれます。確認された方法の1つは、Mikrotik構成に使用される正当な管理ソフトウェアであるWinboxLoaderによってダウンロードされた破損したコンポーネントを含むように変更されたMikrotikルーターを使用することでした。ユーザーがWinboxLoaderを実行すると、侵入先のルーターに接続し、感染したダイナミックライブラリファイル（.DLL）を被害者のコンピューターにダウンロードします。 'ipv4.dll'という名前の.DLLファイルの1つは、ハードコードされたIPとポートに接続することにより、追加のマルウェアモジュールのドロッパーとして機能します。正規のWindowsライブラリ「scesrv.dll」は、まったく同じサイズの破損したプリテンダーに置き換えられます。

有害な活動の大部分は、連携して動作する「Cahnadr」と「GollumApp」という名前の2つの洗練されたモジュールによって実行されます。 Ndriverとも呼ばれる「Cahnadr」は、低レベルのネットワークルーチン、IO操作などを担当するカーネルモジュールです。カーネルレベルでコードを埋め込むために、Slingshotは、既知の脆弱性を持つ正規のドライバーをロードして実行することにより、それらを悪用します。脆弱性（CVE-2007-5633、CVE-2010-1592、CVE-2009-0824など）。このような低システムレベルでアクセスできるようになると、ハッカーは侵入先のコンピュータをほぼ無制限に制御できるようになります。攻撃者は、被害者によって実装された保護を簡単に回避できます。 'Cahnadr'は、システムをクラッシュさせたり、ブルーエラー画面を発生させたりすることなく、脅威となる機能を実行できることに注意する必要があります。

もう1つのSlingshotモジュールであるGollumAppは、1500を超えるユーザー定義関数を含め、はるかに複雑です。脅威の永続化メカニズムの設定、侵入先のデバイスでのファイルシステムの操作、およびコマンドアンドコントロール（C2、C＆C）インフラストラクチャとの通信の処理を担当します。

Slingshotは、侵害されたシステムから大量の情報を収集します。マルウェアは、キーボードデータ、ネットワークデータ、USB接続、パスワード、ユーザー名を取得し、クリップボードにアクセスし、スクリーンショットを撮るなどの可能性があります。Slingshotがカーネルレベルのアクセス権を持っているという事実は、攻撃者がクレジット/などの必要なものを収集する可能性があることを意味します。デビットカードの詳細、ソーシャルセキュリティ番号およびパスワード。収集されたすべてのデータは、標準のネットワークチャネルを介して盗み出されます。マルウェアは、正当なコールバックで異常なトラフィックを隠し、Slingshotパッケージのチェックを実行し、フィルタリングされた通常のトラフィックのみをユーザーとインストールされている可能性のある潜在的なスニファーアプリケーションに返します。