Slingshot APT
Slingshot APT គឺជាឈ្មោះដែលត្រូវបានផ្តល់ទៅឱ្យក្រុមហេគឃ័រដែលមានភាពស្មុគស្មាញខ្ពស់ដែលទទួលខុសត្រូវចំពោះការដាក់ពង្រាយការគំរាមកំហែងនៃការបណ្តេញទិន្នន័យដ៏ស្មុគស្មាញមួយ។ ដោយសារតែធម្មជាតិនៃសកម្មភាពរបស់វា។ អ្នកស្រាវជ្រាវ infosec ជឿថាគោលដៅនៃ Slingshot APT គឺជាចារកម្មសាជីវកម្ម។ វិធីសាស្រ្តដែលប្រើដោយពួក Hacker បង្ហាញថាពួកគេបានចំណាយពេលវេលាយ៉ាងច្រើនដើម្បីបង្កើតប្រអប់ឧបករណ៍មេរោគរបស់ពួកគេ។ សកម្មភាពរបស់ក្រុមបានបន្តពីឆ្នាំ 2012 ដល់ឆ្នាំ 2018 ។
វេទិកាវាយប្រហារដែលបង្កើតឡើងដោយ Slingshot ពាក់ព័ន្ធនឹងដំណាក់កាលជាច្រើន និងវ៉ិចទ័រជាច្រើននៃការសម្របសម្រួល។ វិធីសាស្រ្តមួយដែលត្រូវបានបញ្ជាក់គឺតាមរយៈរ៉ោតទ័រ Mikrotik ដែលត្រូវបានកែប្រែដើម្បីរួមបញ្ចូលសមាសធាតុខូចដែលត្រូវបានទាញយកដោយ Winbox Loader ដែលជាកម្មវិធីគ្រប់គ្រងស្របច្បាប់ដែលប្រើសម្រាប់ការកំណត់រចនាសម្ព័ន្ធ Mikrotik ។ នៅពេលដែលអ្នកប្រើប្រាស់ដំណើរការ Winbox Loader វាភ្ជាប់ទៅរ៉ោតទ័រដែលត្រូវបានសម្របសម្រួល និងទាញយកមេរោគ Dynamic LibraryFiles (.DLL) ទៅកាន់កុំព្យូទ័ររបស់ជនរងគ្រោះ។ មួយក្នុងចំនោមឯកសារ .DLL ដែលមានឈ្មោះថា 'ipv4.dll' ដើរតួជាអ្នកទម្លាក់សម្រាប់ម៉ូឌុលមេរោគបន្ថែមដោយភ្ជាប់ទៅ IP និងច្រករឹង។ បណ្ណាល័យវីនដូស្របច្បាប់ 'scesrv.dll' នឹងត្រូវបានជំនួសដោយក្លែងបន្លំខូចដែលមានទំហំដូចគ្នា។
ភាគច្រើននៃសកម្មភាពបង្កគ្រោះថ្នាក់ត្រូវបានអនុវត្តដោយម៉ូឌុលស្មុគ្រស្មាញពីរដែលមានឈ្មោះថា 'Cahnadr' និង 'GollumApp' ដែលដំណើរការស្របគ្នា។ 'Cahnadr' ដែលគេស្គាល់ថាជា Ndriver គឺជាម៉ូឌុលខឺណែលដែលទទួលខុសត្រូវចំពោះទម្លាប់បណ្តាញកម្រិតទាប ប្រតិបត្តិការ IO ជាដើម។ ដើម្បីបង្កប់កូដរបស់វានៅកម្រិតខឺណែល Slingshot បំពានអ្នកបើកបរស្របច្បាប់ជាមួយនឹងភាពងាយរងគ្រោះដែលគេស្គាល់ដោយផ្ទុកពួកវា និងដំណើរការកូដរបស់វាតាមរយៈ ភាពងាយរងគ្រោះ (ដូចជា CVE-2007-5633, CVE-2010-1592, និង CVE-2009-0824)។ ការទទួលបានសិទ្ធិចូលប្រើក្នុងកម្រិតប្រព័ន្ធទាបបែបនេះ អនុញ្ញាតឱ្យពួក Hacker មានការគ្រប់គ្រងស្ទើរតែគ្មានដែនកំណត់លើកុំព្យូទ័រដែលត្រូវបានសម្របសម្រួល។ អ្នកវាយប្រហារអាចជៀសផុតពីការការពារណាមួយដែលអនុវត្តដោយជនរងគ្រោះយ៉ាងងាយស្រួល។ វាត្រូវតែត្រូវបានកត់សម្គាល់ថា 'Cahnadr' មានសមត្ថភាពក្នុងការអនុវត្តមុខងារគំរាមកំហែងរបស់វាដោយមិនគាំងប្រព័ន្ធឬបណ្តាលឱ្យអេក្រង់កំហុសពណ៌ខៀវ។
ម៉ូឌុល Slingshot ផ្សេងទៀត - GollumApp គឺស្មុគស្មាញជាង រួមទាំងមុខងារដែលកំណត់ដោយអ្នកប្រើប្រាស់ជាង 1500។ វាមានភារកិច្ចរៀបចំយន្តការបន្តនៃការគំរាមកំហែង ការរៀបចំប្រព័ន្ធឯកសារនៅលើឧបករណ៍ដែលត្រូវបានសម្របសម្រួល ក៏ដូចជាការដោះស្រាយការប្រាស្រ័យទាក់ទងជាមួយហេដ្ឋារចនាសម្ព័ន្ធ Command-and-Control (C2, C&C) ។
Slingshot ប្រមូលព័ត៌មានយ៉ាងច្រើនពីប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។ មេរោគអាចទទួលបានទិន្នន័យក្តារចុច ទិន្នន័យបណ្តាញ ការតភ្ជាប់ USB ពាក្យសម្ងាត់ ឈ្មោះអ្នកប្រើប្រាស់ ចូលប្រើក្ដារតម្បៀតខ្ទាស់ ថតរូបអេក្រង់។ល។ ការពិតដែលថា Slingshot មានសិទ្ធិចូលប្រើកម្រិតខឺណែល មានន័យថាអ្នកវាយប្រហារអាចប្រមូលអ្វីៗដែលពួកគេចង់បាន ដូចជាឥណទាន/ ព័ត៌មានលម្អិតអំពីប័ណ្ណឥណពន្ធ លេខសន្តិសុខសង្គម និងពាក្យសម្ងាត់។ ទិន្នន័យដែលប្រមូលបានទាំងអស់ត្រូវបានដកចេញតាមរយៈបណ្តាញស្តង់ដារ។ មេរោគនេះលាក់ចរាចរមិនប្រក្រតីរបស់វានៅក្នុងការហៅត្រលប់មកវិញដោយស្របច្បាប់ ត្រួតពិនិត្យកញ្ចប់ Slingshot ណាមួយ ហើយប្រគល់តែចរាចរធម្មតាដែលបានត្រងទៅកាន់អ្នកប្រើប្រាស់ និងកម្មវិធី sniffer ដែលអាចនឹងត្រូវបានដំឡើង។
