Slingshot APT

স্লিংশট এপিটি একটি জটিল ডেটা এক্সফিল্ট্রেশন হুমকির মোতায়েনের জন্য দায়ী হ্যাকারদের একটি অত্যন্ত পরিশীলিত গ্রুপকে দেওয়া নাম। এর কার্যক্রমের প্রকৃতির কারণে। ইনফোসেক গবেষকরা বিশ্বাস করেন যে স্লিংশট এপিটির লক্ষ্য কর্পোরেট গুপ্তচরবৃত্তি। হ্যাকারদের দ্বারা ব্যবহৃত পদ্ধতিগুলি দেখায় যে তারা তাদের ম্যালওয়্যার টুলকিট তৈরি করতে যথেষ্ট সময় ব্যয় করেছে। গ্রুপের কার্যক্রম 2012 থেকে অন্তত 2018 পর্যন্ত অব্যাহত রয়েছে।

স্লিংশট দ্বারা প্রতিষ্ঠিত আক্রমণের প্ল্যাটফর্মে একাধিক স্তর এবং সমঝোতার বিভিন্ন ভেক্টর জড়িত। একটি নিশ্চিত করা পদ্ধতি ছিল Mikrotik রাউটারগুলির মাধ্যমে যা উইনবক্স লোডার, Mikrotik কনফিগারেশনের জন্য ব্যবহৃত একটি বৈধ ব্যবস্থাপনা সফ্টওয়্যার দ্বারা ডাউনলোড করা একটি দূষিত উপাদান অন্তর্ভুক্ত করার জন্য সংশোধন করা হয়েছে। ব্যবহারকারী যখন উইনবক্স লোডার চালায়, তখন এটি আপস করা রাউটারের সাথে সংযোগ করে এবং আক্রান্তের কম্পিউটারে সংক্রমিত ডায়নামিক লাইব্রেরি ফাইল (.DLL) ডাউনলোড করে। 'ipv4.dll' নামের একটি .DLL ফাইল একটি হার্ডকোড আইপি এবং পোর্টের সাথে সংযোগ করে অতিরিক্ত ম্যালওয়্যার মডিউলগুলির জন্য ড্রপার হিসাবে কাজ করে। বৈধ উইন্ডোজ লাইব্রেরি 'sccesrv.dll' একটি দূষিত প্রিটেন্ডার দিয়ে প্রতিস্থাপিত হবে যার আকার ঠিক একই।

ক্ষতিকারক কার্যকলাপের সিংহভাগই 'Cahnadr' এবং 'GollumApp' নামে দুটি অত্যাধুনিক মডিউল দ্বারা সঞ্চালিত হয় যা একসাথে কাজ করে। 'Cahnadr', Ndriver নামেও পরিচিত, একটি কার্নেল মডিউল যা নিম্ন-স্তরের নেটওয়ার্ক রুটিন, IO ক্রিয়াকলাপ ইত্যাদির জন্য দায়ী। কার্নেল স্তরে এর কোড এম্বেড করার জন্য, Slingshot তাদের লোড করে এবং এর মাধ্যমে কোড চালানোর মাধ্যমে পরিচিত দুর্বলতা সহ বৈধ ড্রাইভারদের অপব্যবহার করে। দুর্বলতা (যেমন CVE-2007-5633, CVE-2010-1592, এবং CVE-2009-0824)। এই ধরনের একটি নিম্ন-সিস্টেম স্তরে অ্যাক্সেস অর্জন হ্যাকারদের আপস করা কম্পিউটারগুলির উপর প্রায় সীমাহীন নিয়ন্ত্রণ রাখতে দেয়। আক্রমণকারীরা সহজেই শিকারের দ্বারা প্রয়োগ করা যেকোনো সুরক্ষাকে বাইপাস করতে পারে। এটা অবশ্যই লক্ষ করা উচিত যে 'Cahnadr' সিস্টেম ক্র্যাশ না করে বা নীল ত্রুটির স্ক্রিন না ঘটিয়ে তার হুমকিমূলক কার্য সম্পাদন করতে সক্ষম।

অন্যান্য স্লিংশট মডিউল - GollumApp, 1500 টিরও বেশি ব্যবহারকারী-সংজ্ঞায়িত ফাংশন সহ আরও জটিল। এটি হুমকির অধ্যবসায় প্রক্রিয়া স্থাপন, আপস করা ডিভাইসে ফাইল সিস্টেমের ম্যানিপুলেশন, সেইসাথে কমান্ড-এন্ড-কন্ট্রোল (C2, C&C) পরিকাঠামোর সাথে যোগাযোগ পরিচালনা করার দায়িত্ব দেওয়া হয়েছে।

স্লিংশট আপোসকৃত সিস্টেম থেকে উল্লেখযোগ্য পরিমাণ তথ্য সংগ্রহ করে। ম্যালওয়্যারটি কীবোর্ড ডেটা, নেটওয়ার্ক ডেটা, ইউএসবি সংযোগ, পাসওয়ার্ড, ব্যবহারকারীর নাম, ক্লিপবোর্ড অ্যাক্সেস করতে, স্ক্রিনশট নিতে, ইত্যাদি পেতে পারে৷ স্লিংশটের কার্নেল-স্তরের অ্যাক্সেসের অর্থ হল আক্রমণকারীরা সম্ভাব্য যা কিছু তাদের ইচ্ছা সংগ্রহ করতে পারে, যেমন ক্রেডিট/ ডেবিট কার্ডের বিবরণ, সামাজিক নিরাপত্তা নম্বর এবং পাসওয়ার্ড। সংগৃহীত সমস্ত ডেটা স্ট্যান্ডার্ড নেটওয়ার্ক চ্যানেলের মাধ্যমে বহিষ্কার করা হয়। ম্যালওয়্যারটি তার অস্বাভাবিক ট্র্যাফিককে বৈধ কল-ব্যাকে লুকিয়ে রাখে, যেকোনো স্লিংশট প্যাকেজের জন্য পরীক্ষা করে এবং ব্যবহারকারীর কাছে শুধুমাত্র ফিল্টার করা স্বাভাবিক ট্র্যাফিক ফিরিয়ে দেয় এবং যে কোনো সম্ভাব্য স্নিফার অ্যাপ্লিকেশন ইনস্টল করা হতে পারে।