Slingshot APT

Slingshot APT est le nom donné à un groupe très sophistiqué de pirates informatiques responsables du déploiement d'une menace complexe d'exfiltration de données. En raison de la nature de ses activités. Les chercheurs d'Infosec pensent que le but du Slingshot APT est l'espionnage des entreprises. Les méthodes utilisées par les pirates montrent qu'ils ont passé un temps considérable à créer leur boîte à outils contre les logiciels malveillants. Les activités du groupe se sont poursuivies de 2012 à au moins 2018.

La plateforme d'attaque mise en place par Slingshot implique plusieurs étapes et plusieurs vecteurs de compromis. Une méthode confirmée consistait à utiliser des routeurs Mikrotik qui ont été modifiés pour inclure un composant corrompu téléchargé par Winbox Loader, un logiciel de gestion légitime utilisé pour la configuration de Mikrotik. Lorsque l'utilisateur exécute Winbox Loader, il se connecte aux routeurs compromis et télécharge les fichiers Dynamic LibraryFiles (.DLL) infectés sur l'ordinateur de la victime. L'un des fichiers .DLL nommé «ipv4.dll» agit comme un compte-gouttes pour les modules malveillants supplémentaires en se connectant à une adresse IP et un port codés en dur. La bibliothèque Windows légitime «scesrv.dll» sera remplacée par un prétendant corrompu qui a exactement la même taille.

La majeure partie de l'activité nuisible est effectuée par deux modules sophistiqués appelés «Cahnadr» et «GollumApp» qui fonctionnent en tandem. «Cahnadr», également connu sous le nom de Ndriver, est un module du noyau responsable des routines réseau de bas niveau, des opérations d'E / S, etc. Pour intégrer son code au niveau du noyau, Slingshot abuse des pilotes légitimes avec des vulnérabilités connues en les chargeant et en exécutant son code via les vulnérabilités (telles que CVE-2007-5633, CVE-2010-1592 et CVE-2009-0824). Obtenir un accès à un niveau système aussi bas permet aux pirates d'avoir un contrôle quasi illimité sur les ordinateurs compromis. Les attaquants pourraient facilement contourner les protections mises en œuvre par la victime. Il faut noter que «Cahnadr» est capable d'exécuter ses fonctions menaçantes sans planter le système ni provoquer un écran d'erreur bleu.

L'autre module Slingshot - GollumApp, est beaucoup plus complexe et comprend plus de 1500 fonctions définies par l'utilisateur. Il est chargé de la mise en place du mécanisme de persistance de la menace, de la manipulation du système de fichiers sur le périphérique compromis, ainsi que de la gestion de la communication avec l'infrastructure Command-and-Control (C2, C&C).

Slingshot recueille une quantité importante d'informations à partir des systèmes compromis. Le malware peut obtenir des données de clavier, des données réseau, des connexions USB, des mots de passe, des noms d'utilisateur, accéder au presse-papiers, prendre des captures d'écran, etc. Le fait que Slingshot dispose d'un accès au niveau du noyau signifie que les attaquants pourraient potentiellement collecter tout ce qu'ils veulent, comme le crédit / les détails de la carte de débit, les numéros de sécurité sociale et les mots de passe. Toutes les données collectées sont exfiltrées via des canaux réseau standard. Le malware cache son trafic anormal dans des rappels légitimes, effectuant des vérifications pour tous les packages Slingshot et ne renvoyant que le trafic normal filtré à l'utilisateur et à toutes les applications de renifleur potentielles qui pourraient être installées.