APT-кампания Slingshot.
Вектор атаки.
Начальный вектор атаки был необычен тем, что многих жертв преступники атаковали через скомпрометированные роутеры фирмы MikroTik. Программа для управления этими роутерами в ходе эксплуатации загружает и исполняет несколько DLL-файлов. Киберпреступники нашли способ скомпрометировать устройства, добавив свой вредоносный DLL. А он подгружал целый букет вредоносных файлов, которые также хранились в роутере.
Но эксперты считают, что организаторы кампании Slingshot воспользовались не только роутерами MikroTik — не исключено, что есть и другие скомпрометированные устройства.
Еще один интересный аспект Slingshot — оригинальный способ, которым злоумышленники добились запуска зловреда в режиме ядра. Казалось бы, в современных операционных системах, обновленных до актуальных версий, такой сценарий практически невозможен. Однако данная вредоносная программа ищет на компьютере подписанные драйверы с уязвимостями и выполняет свой код через них.
Вредоносный инструментарий.
В кампании Slingshot применялись два шедевра кибершпионских технологий: модули Cahnadr и GollumApp.
Cahnadr, работающий в режиме ядра, дает злоумышленнику полный контроль над зараженным компьютером без каких-либо ограничений. Более того, в отличие от большинства зловредов, пытающихся запуститься в режиме ядра, он успешно справляется со своими задачами, не выпадая в синий экран.
Второй модуль, GollumApp, отличается еще более широкими возможностями. Он насчитывает примерно 1500 уникальных функций.
С этими модулями Slingshot может собирать скриншоты, данные о нажатиях клавиш и любых действиях на рабочем столе, сетевой трафик, пароли, содержимое буфера обмена и многое другое. И все это без использования каких-либо уязвимостей нулевого дня.
Борьба с обнаружением.
Реальная опасность кампании Slingshot заключается в том, что она применяет множество хитрых приемов для того, чтобы избежать обнаружения. Зловред может отключать свои компоненты, заметив признаки криминалистического анализа.
Более того, Slingshot работает с собственной зашифрованной файловой системой в незанятой части жесткого диска.
Как противостоять APT-угрозам уровня Slingshot.
Если вы владелец роутера MikroTik и пользуетесь управляющим ПО WinBox, установите последнюю версию программы и убедитесь, что внутренняя ОС роутера обновлена до актуальной версии.
Однако имейте в виду, что обновления закрывают лишь один вектор атаки и не являются панацеей против самой APT-угрозы.
Только стратегический подход сможет защитить вашу компанию от сложных целевых атак. В качестве единого комплексного решения мы предлагаем платформу Threat Management and Defense, которая включает систему защиты от целевых атак Kaspersky Anti Targeted Attack, решение Kaspersky Endpoint Detection and Response.