Slingshot APT

Slingshot APT जटिल डाटा एक्सफिल्टेशन खतराको तैनातीका लागि जिम्मेवार ह्याकरहरूको उच्च-परिष्कृत समूहलाई दिइएको नाम हो। यसको गतिविधि को प्रकृति को कारण। इन्फोसेक अनुसन्धानकर्ताहरू विश्वास गर्छन् कि स्लिंगशट एपीटीको लक्ष्य कर्पोरेट जासुसी हो। ह्याकरहरूले प्रयोग गरेका विधिहरूले देखाउँछन् कि उनीहरूले आफ्नो मालवेयर टुलकिट बनाउनमा धेरै समय बिताएका छन्। समूहका गतिविधिहरू २०१२ देखि कम्तीमा २०१८ सम्म जारी छन्।

Slingshot द्वारा स्थापित आक्रमण प्लेटफर्मले धेरै चरणहरू र सम्झौताको धेरै भेक्टरहरू समावेश गर्दछ। एउटा पुष्टि गरिएको विधि Mikrotik राउटरहरू मार्फत थियो जुन Mikrotik कन्फिगरेसनको लागि प्रयोग गरिएको एक वैध व्यवस्थापन सफ्टवेयर, Winbox Loder द्वारा डाउनलोड गरिएको भ्रष्ट घटक समावेश गर्न परिमार्जन गरिएको थियो। जब प्रयोगकर्ताले Winbox लोडर चलाउँछ, यसले सम्झौता गरिएका राउटरहरूमा जडान गर्छ र संक्रमित डायनामिक लाइब्रेरी फाइलहरू (.DLL) पीडितको कम्प्युटरमा डाउनलोड गर्छ। 'ipv4.dll' नामको .DLL फाइलहरू मध्ये एउटाले हार्डकोड गरिएको आईपी र पोर्टमा जडान गरेर अतिरिक्त मालवेयर मोड्युलहरूको लागि ड्रपरको रूपमा कार्य गर्दछ। वैध विन्डोज पुस्तकालय 'sccesrv.dll' लाई ठ्याक्कै उस्तै साइज भएको भ्रष्ट ढोंगले प्रतिस्थापन गरिनेछ।

धेरैजसो हानिकारक गतिविधिहरू 'Cahnadr' र 'GollumApp' नामक दुईवटा परिष्कृत मोड्युलहरूद्वारा गरिन्छ जुन मिलाएर काम गर्दछ। 'Cahnadr', Ndriver भनेर पनि चिनिन्छ, एक कर्नेल मोड्युल हो जुन निम्न-स्तरको नेटवर्क दिनचर्याहरू, IO अपरेसनहरू, इत्यादिका लागि जिम्मेवार छ। यसको कोड कर्नेल स्तरमा इम्बेड गर्न, Slingshot ले वैध चालकहरूलाई लोड गरेर र यसको कोड चलाएर ज्ञात कमजोरीहरूको दुरुपयोग गर्दछ। कमजोरीहरू (जस्तै CVE-2007-5633, CVE-2010-1592, र CVE-2009-0824)। यस्तो कम-प्रणाली स्तरमा पहुँच प्राप्त गर्नाले ह्याकरहरूलाई सम्झौता गरिएका कम्प्युटरहरूमा असीमित नियन्त्रण गर्न अनुमति दिन्छ। आक्रमणकारीहरूले पीडितले लागू गरेको कुनै पनि सुरक्षालाई सजिलै बाइपास गर्न सक्थे। यो नोट गर्नुपर्दछ कि 'Cahnadr' प्रणाली क्र्यास नगरी वा नीलो त्रुटि स्क्रिनको कारण बिना यसको धम्कीपूर्ण कार्यहरू प्रदर्शन गर्न सक्षम छ।

अन्य Slingshot मोड्युल - GollumApp, 1500 भन्दा बढी प्रयोगकर्ता-परिभाषित कार्यहरू सहित धेरै जटिल छ। यो खतराको दृढता संयन्त्र सेटअप गर्न, सम्झौता गरिएको यन्त्रमा फाइल प्रणालीको हेरफेर, साथै कमाण्ड-एन्ड-कन्ट्रोल (C2, C&C) पूर्वाधारसँग सञ्चारलाई ह्यान्डल गर्ने जिम्मेवारी दिइएको छ।

Slingshot ले सम्झौता प्रणालीहरु बाट जानकारी को एक महत्वपूर्ण मात्रा संकलन गर्दछ। मालवेयरले किबोर्ड डेटा, नेटवर्क डेटा, USB जडानहरू, पासवर्डहरू, प्रयोगकर्तानामहरू, क्लिपबोर्ड पहुँच गर्न, स्क्रिनसटहरू लिन, इत्यादि प्राप्त गर्न सक्छ। Slingshot ले कर्नेल-स्तर पहुँच भएको तथ्यको मतलब आक्रमणकारीहरूले सम्भावित रूपमा आफूले चाहेको जुनसुकै कुरा सङ्कलन गर्न सक्छन्, जस्तै क्रेडिट/ डेबिट कार्ड विवरण, सामाजिक सुरक्षा नम्बर र पासवर्ड। जम्मा गरिएका सबै डाटा मानक नेटवर्क च्यानलहरू मार्फत निकालिन्छ। मालवेयरले आफ्नो असामान्य ट्राफिकलाई वैध कल-ब्याकहरूमा लुकाउँछ, कुनै पनि स्लिंगसट प्याकेजहरूको लागि जाँचहरू प्रदर्शन गर्दै, र प्रयोगकर्तालाई फिल्टर गरिएको सामान्य ट्राफिक र स्थापना हुन सक्ने कुनै पनि सम्भावित स्निफर अनुप्रयोगहरूलाई मात्र फर्काउँछ।