Slingshot APT

Slingshot APT ਇੱਕ ਗੁੰਝਲਦਾਰ ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਖ਼ਤਰੇ ਦੀ ਤੈਨਾਤੀ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਹੈਕਰਾਂ ਦੇ ਇੱਕ ਉੱਚ-ਅਨੁਕੂਲ ਸਮੂਹ ਨੂੰ ਦਿੱਤਾ ਗਿਆ ਨਾਮ ਹੈ। ਇਸ ਦੀਆਂ ਗਤੀਵਿਧੀਆਂ ਦੀ ਪ੍ਰਕਿਰਤੀ ਦੇ ਕਾਰਨ. infosec ਖੋਜਕਰਤਾਵਾਂ ਦਾ ਮੰਨਣਾ ਹੈ ਕਿ Slingshot APT ਦਾ ਟੀਚਾ ਕਾਰਪੋਰੇਟ ਜਾਸੂਸੀ ਹੈ। ਹੈਕਰਾਂ ਦੁਆਰਾ ਵਰਤੇ ਗਏ ਤਰੀਕਿਆਂ ਤੋਂ ਪਤਾ ਲੱਗਦਾ ਹੈ ਕਿ ਉਨ੍ਹਾਂ ਨੇ ਆਪਣੀ ਮਾਲਵੇਅਰ ਟੂਲਕਿੱਟ ਨੂੰ ਤਿਆਰ ਕਰਨ ਵਿੱਚ ਕਾਫ਼ੀ ਸਮਾਂ ਬਿਤਾਇਆ ਹੈ। ਗਰੁੱਪ ਦੀਆਂ ਗਤੀਵਿਧੀਆਂ 2012 ਤੋਂ ਘੱਟੋ-ਘੱਟ 2018 ਤੱਕ ਜਾਰੀ ਰਹੀਆਂ।

Slingshot ਦੁਆਰਾ ਸਥਾਪਿਤ ਕੀਤੇ ਗਏ ਹਮਲੇ ਦੇ ਪਲੇਟਫਾਰਮ ਵਿੱਚ ਕਈ ਪੜਾਅ ਅਤੇ ਸਮਝੌਤਾ ਦੇ ਕਈ ਵੈਕਟਰ ਸ਼ਾਮਲ ਹੁੰਦੇ ਹਨ। ਇੱਕ ਪੁਸ਼ਟੀ ਕੀਤੀ ਵਿਧੀ ਮਿਕਰੋਟਿਕ ਰਾਊਟਰਾਂ ਦੁਆਰਾ ਸੀ ਜਿਸ ਵਿੱਚ ਵਿਨਬਾਕਸ ਲੋਡਰ ਦੁਆਰਾ ਡਾਊਨਲੋਡ ਕੀਤੇ ਇੱਕ ਖਰਾਬ ਕੰਪੋਨੈਂਟ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨ ਲਈ ਸੰਸ਼ੋਧਿਤ ਕੀਤਾ ਗਿਆ ਹੈ, ਜੋ ਕਿ ਮਾਈਕਰੋਟਿਕ ਕੌਂਫਿਗਰੇਸ਼ਨ ਲਈ ਵਰਤਿਆ ਜਾਣ ਵਾਲਾ ਇੱਕ ਜਾਇਜ਼ ਪ੍ਰਬੰਧਨ ਸਾਫਟਵੇਅਰ ਹੈ। ਜਦੋਂ ਉਪਭੋਗਤਾ ਵਿਨਬਾਕਸ ਲੋਡਰ ਚਲਾਉਂਦਾ ਹੈ, ਤਾਂ ਇਹ ਸਮਝੌਤਾ ਕੀਤੇ ਰਾਊਟਰਾਂ ਨਾਲ ਜੁੜਦਾ ਹੈ ਅਤੇ ਪੀੜਤ ਦੇ ਕੰਪਿਊਟਰ 'ਤੇ ਸੰਕਰਮਿਤ ਡਾਇਨਾਮਿਕ ਲਾਇਬ੍ਰੇਰੀ ਫਾਈਲਾਂ (.DLL) ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਦਾ ਹੈ। 'ipv4.dll' ਨਾਮੀ .DLL ਫਾਈਲਾਂ ਵਿੱਚੋਂ ਇੱਕ ਹਾਰਡਕੋਡਡ IP ਅਤੇ ਪੋਰਟ ਨਾਲ ਕਨੈਕਟ ਕਰਕੇ ਵਾਧੂ ਮਾਲਵੇਅਰ ਮੋਡੀਊਲ ਲਈ ਡਰਾਪਰ ਵਜੋਂ ਕੰਮ ਕਰਦੀ ਹੈ। ਜਾਇਜ਼ ਵਿੰਡੋਜ਼ ਲਾਇਬ੍ਰੇਰੀ 'sccesrv.dll' ਨੂੰ ਇੱਕ ਦੂਸ਼ਿਤ ਦਿਖਾਵਾ ਨਾਲ ਬਦਲ ਦਿੱਤਾ ਜਾਵੇਗਾ ਜਿਸਦਾ ਆਕਾਰ ਬਿਲਕੁਲ ਉਸੇ ਤਰ੍ਹਾਂ ਹੈ।

ਹਾਨੀਕਾਰਕ ਗਤੀਵਿਧੀ ਦਾ ਵੱਡਾ ਹਿੱਸਾ 'Cahnadr' ਅਤੇ 'GollumApp' ਨਾਮ ਦੇ ਦੋ ਆਧੁਨਿਕ ਮਾਡਿਊਲਾਂ ਦੁਆਰਾ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਜੋ ਮਿਲ ਕੇ ਕੰਮ ਕਰਦੇ ਹਨ। 'Cahnadr', Ndriver ਵਜੋਂ ਵੀ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਇੱਕ ਕਰਨਲ ਮੋਡੀਊਲ ਹੈ ਜੋ ਹੇਠਲੇ-ਪੱਧਰ ਦੇ ਨੈੱਟਵਰਕ ਰੂਟੀਨਾਂ, IO ਓਪਰੇਸ਼ਨਾਂ, ਆਦਿ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਹੈ। ਇਸ ਦੇ ਕੋਡ ਨੂੰ ਕਰਨਲ ਪੱਧਰ 'ਤੇ ਏਮਬੇਡ ਕਰਨ ਲਈ, Slingshot ਉਹਨਾਂ ਨੂੰ ਲੋਡ ਕਰਕੇ ਅਤੇ ਇਸਦੇ ਕੋਡ ਨੂੰ ਚਲਾ ਕੇ ਜਾਣੇ-ਪਛਾਣੇ ਕਮਜ਼ੋਰੀਆਂ ਵਾਲੇ ਜਾਇਜ਼ ਡਰਾਈਵਰਾਂ ਦੀ ਦੁਰਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਕਮਜ਼ੋਰੀਆਂ (ਜਿਵੇਂ ਕਿ CVE-2007-5633, CVE-2010-1592, ਅਤੇ CVE-2009-0824)। ਅਜਿਹੇ ਘੱਟ-ਸਿਸਟਮ ਪੱਧਰ 'ਤੇ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨਾ ਹੈਕਰਾਂ ਨੂੰ ਸਮਝੌਤਾ ਕੀਤੇ ਕੰਪਿਊਟਰਾਂ 'ਤੇ ਲਗਭਗ ਅਸੀਮਤ ਨਿਯੰਤਰਣ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ। ਹਮਲਾਵਰ ਪੀੜਤ ਦੁਆਰਾ ਲਾਗੂ ਕੀਤੀ ਗਈ ਕਿਸੇ ਵੀ ਸੁਰੱਖਿਆ ਨੂੰ ਆਸਾਨੀ ਨਾਲ ਬਾਈਪਾਸ ਕਰ ਸਕਦੇ ਹਨ। ਇਹ ਨੋਟ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ ਕਿ 'Cahnadr' ਸਿਸਟਮ ਨੂੰ ਕਰੈਸ਼ ਕੀਤੇ ਬਿਨਾਂ ਜਾਂ ਨੀਲੀ ਐਰਰ ਸਕਰੀਨ ਦਾ ਕਾਰਨ ਬਣਨ ਤੋਂ ਬਿਨਾਂ ਇਸਦੇ ਧਮਕਾਉਣ ਵਾਲੇ ਫੰਕਸ਼ਨ ਕਰਨ ਦੇ ਸਮਰੱਥ ਹੈ।

ਹੋਰ Slingshot ਮੋਡੀਊਲ - GollumApp, 1500 ਤੋਂ ਵੱਧ ਉਪਭੋਗਤਾ ਦੁਆਰਾ ਪਰਿਭਾਸ਼ਿਤ ਫੰਕਸ਼ਨਾਂ ਸਮੇਤ, ਬਹੁਤ ਜ਼ਿਆਦਾ ਗੁੰਝਲਦਾਰ ਹੈ। ਇਸ ਨੂੰ ਧਮਕੀ ਦੀ ਸਥਿਰਤਾ ਵਿਧੀ, ਸਮਝੌਤਾ ਕੀਤੇ ਡਿਵਾਈਸ 'ਤੇ ਫਾਈਲ ਸਿਸਟਮ ਦੀ ਹੇਰਾਫੇਰੀ, ਅਤੇ ਨਾਲ ਹੀ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2, C&C) ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨਾਲ ਸੰਚਾਰ ਨੂੰ ਸੰਭਾਲਣ ਦਾ ਕੰਮ ਸੌਂਪਿਆ ਗਿਆ ਹੈ।

Slingshot ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮਾਂ ਤੋਂ ਬਹੁਤ ਸਾਰੀ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਦਾ ਹੈ। ਮਾਲਵੇਅਰ ਕੀਬੋਰਡ ਡੇਟਾ, ਨੈਟਵਰਕ ਡੇਟਾ, USB ਕਨੈਕਸ਼ਨ, ਪਾਸਵਰਡ, ਉਪਭੋਗਤਾ ਨਾਮ, ਕਲਿੱਪਬੋਰਡ ਤੱਕ ਪਹੁੰਚ, ਸਕ੍ਰੀਨਸ਼ਾਟ ਆਦਿ ਪ੍ਰਾਪਤ ਕਰ ਸਕਦਾ ਹੈ। ਇਸ ਤੱਥ ਦਾ ਕਿ Slingshot ਕੋਲ ਕਰਨਲ-ਪੱਧਰ ਦੀ ਪਹੁੰਚ ਹੈ ਦਾ ਮਤਲਬ ਹੈ ਕਿ ਹਮਲਾਵਰ ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਉਹ ਕੁਝ ਵੀ ਇਕੱਠਾ ਕਰ ਸਕਦੇ ਹਨ ਜੋ ਉਹ ਚਾਹੁੰਦੇ ਹਨ, ਜਿਵੇਂ ਕਿ ਕ੍ਰੈਡਿਟ/ ਡੈਬਿਟ ਕਾਰਡ ਦੇ ਵੇਰਵੇ, ਸਮਾਜਿਕ ਸੁਰੱਖਿਆ ਨੰਬਰ ਅਤੇ ਪਾਸਵਰਡ। ਇਕੱਠੇ ਕੀਤੇ ਗਏ ਸਾਰੇ ਡੇਟਾ ਨੂੰ ਸਟੈਂਡਰਡ ਨੈਟਵਰਕ ਚੈਨਲਾਂ ਰਾਹੀਂ ਬਾਹਰ ਕੱਢਿਆ ਜਾਂਦਾ ਹੈ। ਮਾਲਵੇਅਰ ਆਪਣੇ ਅਸਧਾਰਨ ਟ੍ਰੈਫਿਕ ਨੂੰ ਜਾਇਜ਼ ਕਾਲ-ਬੈਕਾਂ ਵਿੱਚ ਛੁਪਾਉਂਦਾ ਹੈ, ਕਿਸੇ ਵੀ ਸਲਿੰਗਸ਼ਾਟ ਪੈਕੇਜਾਂ ਦੀ ਜਾਂਚ ਕਰਦਾ ਹੈ, ਅਤੇ ਉਪਭੋਗਤਾ ਨੂੰ ਸਿਰਫ ਫਿਲਟਰ ਕੀਤੇ ਆਮ ਟ੍ਰੈਫਿਕ ਨੂੰ ਵਾਪਸ ਕਰਦਾ ਹੈ ਅਤੇ ਕਿਸੇ ਵੀ ਸੰਭਾਵੀ ਸਨਿਫਰ ਐਪਲੀਕੇਸ਼ਨਾਂ ਜੋ ਕਿ ਇੰਸਟਾਲ ਹੋ ਸਕਦੀਆਂ ਹਨ।