ஸ்லிங்ஷாட் APT

ஸ்லிங்ஷாட் APT என்பது சிக்கலான தரவு வெளியேற்ற அச்சுறுத்தலைப் பயன்படுத்துவதற்குப் பொறுப்பான ஹேக்கர்களின் அதிநவீன குழுவிற்கு வழங்கப்பட்ட பெயர். அதன் செயல்பாடுகளின் தன்மை காரணமாக. infosec ஆராய்ச்சியாளர்கள் Slingshot APT இன் குறிக்கோள் கார்ப்பரேட் உளவு என்று நம்புகிறார்கள். ஹேக்கர்கள் பயன்படுத்தும் முறைகள், அவர்கள் தங்கள் தீம்பொருள் கருவித்தொகுப்பை வடிவமைக்க கணிசமான நேரத்தை செலவிட்டதைக் காட்டுகின்றன. குழுவின் செயல்பாடுகள் 2012 முதல் குறைந்தது 2018 வரை தொடர்ந்தன.

ஸ்லிங்ஷாட் நிறுவிய தாக்குதல் தளமானது பல நிலைகளையும் சமரசத்தின் பல திசையன்களையும் உள்ளடக்கியது. மைக்ரோடிக் உள்ளமைவுக்குப் பயன்படுத்தப்படும் முறையான மேலாண்மை மென்பொருளான வின்பாக்ஸ் லோடரால் பதிவிறக்கம் செய்யப்பட்ட சிதைந்த கூறுகளைச் சேர்க்க மைக்ரோடிக் ரவுட்டர்கள் மூலம் உறுதிப்படுத்தப்பட்ட முறை ஒன்று மாற்றப்பட்டது. பயனர் Winbox லோடரை இயக்கும்போது, அது சமரசம் செய்யப்பட்ட ரவுட்டர்களுடன் இணைக்கப்பட்டு பாதிக்கப்பட்டவரின் கணினியில் பாதிக்கப்பட்ட டைனமிக் லைப்ரரி கோப்புகளை (.DLL) பதிவிறக்குகிறது. 'ipv4.dll' என்ற பெயரிடப்பட்ட .DLL கோப்புகளில் ஒன்று, ஹார்ட்கோடட் ஐபி மற்றும் போர்ட்டுடன் இணைப்பதன் மூலம் கூடுதல் மால்வேர் தொகுதிகளுக்கு ஒரு துளிசொட்டியாக செயல்படுகிறது. முறையான விண்டோஸ் லைப்ரரி 'scesrv.dll' சரியான அளவைக் கொண்ட சிதைந்த பாசாங்கு மூலம் மாற்றப்படும்.

தீங்கு விளைவிக்கும் செயல்பாட்டின் பெரும்பகுதி 'Cahnadr' மற்றும் 'GollumApp' என பெயரிடப்பட்ட இரண்டு அதிநவீன தொகுதிகளால் செய்யப்படுகிறது. Ndriver என்றும் அழைக்கப்படும் 'Cahnadr' என்பது குறைந்த-நிலை நெட்வொர்க் நடைமுறைகள், IO செயல்பாடுகள் போன்றவற்றுக்குப் பொறுப்பான ஒரு கர்னல் தொகுதியாகும். கர்னல் மட்டத்தில் அதன் குறியீட்டை உட்பொதிக்க, ஸ்லிங்ஷாட் அறியப்பட்ட பாதிப்புகளைக் கொண்ட முறையான இயக்கிகளை ஏற்றி அதன் குறியீட்டை இயக்குவதன் மூலம் தவறாகப் பயன்படுத்துகிறது. பாதிப்புகள் (CVE-2007-5633, CVE-2010-1592 மற்றும் CVE-2009-0824 போன்றவை). அத்தகைய குறைந்த-அமைப்பு மட்டத்தில் அணுகலைப் பெறுவது, ஹேக்கர்கள் சமரசம் செய்யப்பட்ட கணினிகள் மீது வரம்பற்ற கட்டுப்பாட்டைக் கொண்டிருக்க அனுமதிக்கிறது. பாதிக்கப்பட்டவரால் செயல்படுத்தப்படும் எந்தப் பாதுகாப்பையும் தாக்குபவர்கள் எளிதில் கடந்து செல்ல முடியும். 'Cahnadr' ஆனது கணினியை செயலிழக்கச் செய்யாமலோ அல்லது நீலப் பிழைத் திரையை ஏற்படுத்தாமலோ அதன் அச்சுறுத்தும் செயல்பாடுகளைச் செய்யும் திறன் கொண்டது என்பதைக் கவனத்தில் கொள்ள வேண்டும்.

மற்ற ஸ்லிங்ஷாட் தொகுதி - GollumApp, 1500 க்கும் மேற்பட்ட பயனர் வரையறுக்கப்பட்ட செயல்பாடுகள் உட்பட மிகவும் சிக்கலானது. இது அச்சுறுத்தலின் நிலைத்தன்மை பொறிமுறையை அமைப்பது, சமரசம் செய்யப்பட்ட சாதனத்தில் கோப்பு முறைமையைக் கையாளுதல், அத்துடன் கட்டளை மற்றும் கட்டுப்பாடு (C2, C&C) உள்கட்டமைப்புடன் தொடர்பைக் கையாளுதல்.

சமரசம் செய்யப்பட்ட அமைப்புகளிலிருந்து கணிசமான அளவு தகவல்களை ஸ்லிங்ஷாட் சேகரிக்கிறது. தீம்பொருள் விசைப்பலகை தரவு, நெட்வொர்க் தரவு, USB இணைப்புகள், கடவுச்சொற்கள், பயனர்பெயர்கள், கிளிப்போர்டை அணுகலாம், ஸ்கிரீன்ஷாட்களை எடுக்கலாம். டெபிட் கார்டு விவரங்கள், சமூக பாதுகாப்பு எண்கள் மற்றும் கடவுச்சொற்கள். சேகரிக்கப்பட்ட தரவு அனைத்தும் நிலையான நெட்வொர்க் சேனல்கள் மூலம் வெளியேற்றப்படுகிறது. தீம்பொருள் அதன் அசாதாரண போக்குவரத்தை முறையான அழைப்பு-பேக்குகளில் மறைக்கிறது, எந்த ஸ்லிங்ஷாட் தொகுப்புகளையும் சரிபார்த்து, வடிகட்டப்பட்ட இயல்பான போக்குவரத்தை மட்டுமே பயனருக்கு திருப்பி அனுப்புகிறது மற்றும் நிறுவப்பட்டிருக்கக்கூடிய ஸ்னிஃபர் பயன்பாடுகள்.