Slingshot APT

Slingshot APT es el nombre que se le da a un grupo altamente sofisticado de piratas informáticos responsables del despliegue de una compleja amenaza de exfiltración de datos. Por la naturaleza de sus actividades. Los investigadores de infosec creen que el objetivo de Slingshot APT es el espionaje corporativo. Los métodos utilizados por los piratas informáticos muestran que han dedicado un tiempo considerable a crear su kit de herramientas de malware. Las actividades del grupo han continuado desde 2012 hasta al menos 2018.

La plataforma de ataque establecida por Slingshot involucra múltiples etapas y varios vectores de compromiso. Un método confirmado fue a través de enrutadores Mikrotik que se han modificado para incluir un componente dañado descargado por Winbox Loader, un software de gestión legítimo utilizado para la configuración de Mikrotik. Cuando el usuario ejecuta Winbox Loader, se conecta a los enrutadores comprometidos y descarga Dynamic LibraryFiles (.DLL) infectados en la computadora de la víctima. Uno de los archivos .DLL llamado 'ipv4.dll' actúa como un cuentagotas para módulos de malware adicionales al conectarse a una IP y un puerto codificados. La biblioteca legítima de Windows 'scesrv.dll' será reemplazada por un pretendiente corrupto que tiene exactamente el mismo tamaño.

La mayor parte de la actividad dañina se realiza mediante dos módulos sofisticados llamados 'Cahnadr' y 'GollumApp' que funcionan en conjunto. 'Cahnadr', también conocido como Ndriver, es un módulo del kernel responsable de las rutinas de red de bajo nivel, operaciones de E / S, etc. Para incrustar su código en el nivel del kernel, Slingshot abusa de los controladores legítimos con vulnerabilidades conocidas cargándolos y ejecutando su código a través de las vulnerabilidades (como CVE-2007-5633, CVE-2010-1592 y CVE-2009-0824). Obtener acceso a un nivel de sistema tan bajo permite a los piratas informáticos tener un control casi ilimitado sobre las computadoras comprometidas. Los atacantes podrían fácilmente eludir cualquier protección implementada por la víctima. Debe tenerse en cuenta que 'Cahnadr' es capaz de realizar sus funciones amenazantes sin bloquear el sistema o causar una pantalla de error azul.

El otro módulo Slingshot, GollumApp, es mucho más complejo e incluye más de 1500 funciones definidas por el usuario. Tiene la tarea de configurar el mecanismo de persistencia de la amenaza, la manipulación del sistema de archivos en el dispositivo comprometido, así como el manejo de la comunicación con la infraestructura de Comando y Control (C2, C&C).

Slingshot recopila una cantidad significativa de información de los sistemas comprometidos. El malware puede obtener datos de teclado, datos de red, conexiones USB, contraseñas, nombres de usuario, acceder al portapapeles, tomar capturas de pantalla, etc. El hecho de que Slingshot tenga acceso a nivel de kernel significa que los atacantes podrían recolectar lo que quieran, como crédito detalles de la tarjeta de débito, números de seguro social y contraseñas. Todos los datos recopilados se extraen a través de canales de red estándar. El malware oculta su tráfico anormal en devoluciones de llamada legítimas, realiza comprobaciones de cualquier paquete Slingshot y devuelve solo el tráfico normal filtrado al usuario y cualquier aplicación de rastreo potencial que pueda estar instalada.