Slingshot APT

Slingshot APT एक जटिल डेटा एक्सफ़िल्टरेशन खतरे की तैनाती के लिए जिम्मेदार हैकर्स के एक अत्यधिक परिष्कृत समूह को दिया गया नाम है। इसकी गतिविधियों की प्रकृति के कारण। इन्फोसेक के शोधकर्ताओं का मानना है कि स्लिंगशॉट एपीटी का लक्ष्य कॉर्पोरेट जासूसी है। हैकर्स द्वारा इस्तेमाल किए गए तरीकों से पता चलता है कि उन्होंने अपने मैलवेयर टूलकिट को तैयार करने में काफी समय बिताया है। समूह की गतिविधियां 2012 से कम से कम 2018 तक जारी रही हैं।

स्लिंगशॉट द्वारा स्थापित हमले के मंच में कई चरण और समझौता के कई वैक्टर शामिल हैं। एक पुष्टि की गई विधि मिकरोटिक राउटर के माध्यम से थी जिसे विनबॉक्स लोडर द्वारा डाउनलोड किए गए दूषित घटक को शामिल करने के लिए संशोधित किया गया है, जो मिकरोटिक कॉन्फ़िगरेशन के लिए उपयोग किया जाने वाला एक वैध प्रबंधन सॉफ़्टवेयर है। जब उपयोगकर्ता विनबॉक्स लोडर चलाता है, तो यह समझौता किए गए राउटर से जुड़ता है और पीड़ित के कंप्यूटर पर संक्रमित डायनेमिक लाइब्रेरी फाइल (.DLL) डाउनलोड करता है। 'IPv4.dll' नाम की .DLL फाइलों में से एक हार्डकोडेड आईपी और पोर्ट से जुड़कर अतिरिक्त मैलवेयर मॉड्यूल के लिए ड्रॉपर के रूप में कार्य करता है। वैध विंडोज लाइब्रेरी 'scesrv.dll' को एक भ्रष्ट प्रिटेंडर से बदल दिया जाएगा, जिसका आकार ठीक वैसा ही है।

हानिकारक गतिविधि का बड़ा हिस्सा 'कहनाद्र' और 'गोलमएप' नामक दो परिष्कृत मॉड्यूल द्वारा किया जाता है जो एक साथ काम करते हैं। 'Cahnadr', जिसे Ndriver के रूप में भी जाना जाता है, एक कर्नेल मॉड्यूल है जो निम्न-स्तरीय नेटवर्क रूटीन, IO संचालन आदि के लिए जिम्मेदार है। कर्नेल स्तर पर अपने कोड को एम्बेड करने के लिए, स्लिंगशॉट वैध ड्राइवरों को लोड करके और इसके कोड को चलाकर उनका दुरुपयोग करता है। कमजोरियाँ (जैसे CVE-2007-5633, CVE-2010-1592, और CVE-2009-0824)। इस तरह के निम्न-सिस्टम स्तर पर पहुंच प्राप्त करने से हैकर्स को समझौता किए गए कंप्यूटरों पर लगभग असीमित नियंत्रण रखने की अनुमति मिलती है। हमलावर आसानी से पीड़ित द्वारा लागू किए गए किसी भी सुरक्षा को दरकिनार कर सकते थे। यह ध्यान दिया जाना चाहिए कि 'Channadr' सिस्टम को क्रैश किए बिना या ब्लू एरर स्क्रीन के कारण अपने खतरनाक कार्यों को करने में सक्षम है।

अन्य स्लिंगशॉट मॉड्यूल - GollumApp, कहीं अधिक जटिल है, जिसमें 1500 से अधिक उपयोगकर्ता-परिभाषित फ़ंक्शन शामिल हैं। इसे खतरे की दृढ़ता तंत्र स्थापित करने, समझौता किए गए डिवाइस पर फाइल सिस्टम के हेरफेर के साथ-साथ कमांड-एंड-कंट्रोल (सी 2, सी एंड सी) बुनियादी ढांचे के साथ संचार को संभालने का काम सौंपा गया है।

स्लिंगशॉट समझौता किए गए सिस्टम से महत्वपूर्ण मात्रा में जानकारी एकत्र करता है। मैलवेयर कीबोर्ड डेटा, नेटवर्क डेटा, यूएसबी कनेक्शन, पासवर्ड, उपयोगकर्ता नाम, क्लिपबोर्ड तक पहुंच प्राप्त कर सकता है, स्क्रीनशॉट ले सकता है, आदि। तथ्य यह है कि स्लिंगशॉट में कर्नेल-स्तरीय पहुंच है, इसका मतलब है कि हमलावर संभावित रूप से अपनी इच्छानुसार कुछ भी एकत्र कर सकते हैं, जैसे क्रेडिट/ डेबिट कार्ड विवरण, सामाजिक सुरक्षा नंबर और पासवर्ड। एकत्र किए गए सभी डेटा को मानक नेटवर्क चैनलों के माध्यम से बहिष्कृत किया जाता है। मैलवेयर वैध कॉल-बैक में अपने असामान्य ट्रैफ़िक को छुपाता है, किसी भी स्लिंगशॉट पैकेज के लिए जांच करता है, और उपयोगकर्ता को केवल फ़िल्टर किए गए सामान्य ट्रैफ़िक को लौटाता है और कोई भी संभावित स्निफ़र एप्लिकेशन जो इंस्टॉल हो सकता है।