స్లింగ్‌షాట్ APT

స్లింగ్‌షాట్ APT అనేది సంక్లిష్టమైన డేటా ఎక్స్‌ఫిల్ట్రేషన్ ముప్పు యొక్క విస్తరణకు బాధ్యత వహించే హ్యాకర్ల యొక్క అత్యంత అధునాతన సమూహానికి ఇవ్వబడిన పేరు. దాని కార్యకలాపాల స్వభావం కారణంగా. స్లింగ్‌షాట్ APT యొక్క లక్ష్యం కార్పొరేట్ గూఢచర్యం అని infosec పరిశోధకులు విశ్వసిస్తున్నారు. హ్యాకర్లు ఉపయోగించే పద్ధతులు వారు తమ మాల్వేర్ టూల్‌కిట్‌ను రూపొందించడంలో గణనీయమైన సమయాన్ని వెచ్చించినట్లు చూపుతున్నాయి. సమూహం యొక్క కార్యకలాపాలు 2012 నుండి కనీసం 2018 వరకు కొనసాగాయి.

స్లింగ్‌షాట్ స్థాపించిన దాడి ప్లాట్‌ఫారమ్‌లో అనేక దశలు మరియు రాజీ యొక్క అనేక వెక్టర్‌లు ఉంటాయి. మైక్రోటిక్ కాన్ఫిగరేషన్ కోసం ఉపయోగించే చట్టబద్ధమైన మేనేజ్‌మెంట్ సాఫ్ట్‌వేర్ అయిన విన్‌బాక్స్ లోడర్ ద్వారా డౌన్‌లోడ్ చేయబడిన పాడైన కాంపోనెంట్‌ను చేర్చడానికి మైక్రోటిక్ రూటర్‌ల ద్వారా ధృవీకరించబడిన పద్ధతి ఒకటి. వినియోగదారు విన్‌బాక్స్ లోడర్‌ని అమలు చేసినప్పుడు, అది రాజీపడిన రూటర్‌లకు కనెక్ట్ చేస్తుంది మరియు బాధితుడి కంప్యూటర్‌లోకి సోకిన డైనమిక్ లైబ్రరీఫైల్స్ (.DLL)ని డౌన్‌లోడ్ చేస్తుంది. 'ipv4.dll' పేరుతో ఉన్న .DLL ఫైల్‌లలో ఒకటి హార్డ్‌కోడెడ్ IP మరియు పోర్ట్‌కి కనెక్ట్ చేయడం ద్వారా అదనపు మాల్వేర్ మాడ్యూల్‌ల కోసం డ్రాపర్‌గా పనిచేస్తుంది. చట్టబద్ధమైన Windows లైబ్రరీ 'scesrv.dll' ఖచ్చితమైన పరిమాణాన్ని కలిగి ఉన్న పాడైన ప్రెటెండర్‌తో భర్తీ చేయబడుతుంది.

హానికరమైన కార్యకలాపంలో ఎక్కువ భాగం 'Cahnadr' మరియు 'GollumApp' అనే రెండు అధునాతన మాడ్యూల్‌ల ద్వారా నిర్వహించబడుతుంది. 'Cahnadr,' Ndriver అని కూడా పిలవబడుతుంది, ఇది తక్కువ-స్థాయి నెట్‌వర్క్ రొటీన్‌లు, IO కార్యకలాపాలు మొదలైన వాటికి బాధ్యత వహించే కెర్నల్ మాడ్యూల్. కెర్నల్ స్థాయిలో దాని కోడ్‌ను పొందుపరచడానికి, స్లింగ్‌షాట్ తెలిసిన దుర్బలత్వాలు ఉన్న చట్టబద్ధమైన డ్రైవర్‌లను లోడ్ చేయడం ద్వారా మరియు దాని కోడ్‌ను అమలు చేయడం ద్వారా దుర్వినియోగం చేస్తుంది. దుర్బలత్వాలు (CVE-2007-5633, CVE-2010-1592, మరియు CVE-2009-0824 వంటివి). అటువంటి తక్కువ-సిస్టమ్ స్థాయిలో యాక్సెస్ పొందడం వల్ల హ్యాకర్లు రాజీపడిన కంప్యూటర్‌లపై అపరిమితమైన నియంత్రణను కలిగి ఉంటారు. దాడి చేసేవారు బాధితుడు అమలు చేసిన ఏవైనా రక్షణలను సులభంగా దాటవేయవచ్చు. సిస్టమ్‌ను క్రాష్ చేయకుండా లేదా బ్లూ ఎర్రర్ స్క్రీన్‌కు కారణం కాకుండా 'Cahnadr' దాని బెదిరింపు విధులను నిర్వహించగలదని గమనించాలి.

ఇతర స్లింగ్‌షాట్ మాడ్యూల్ - GollumApp, 1500 కంటే ఎక్కువ వినియోగదారు నిర్వచించిన ఫంక్షన్‌లతో సహా చాలా క్లిష్టమైనది. ఇది ముప్పు యొక్క పెర్సిస్టెన్స్ మెకానిజమ్‌ను సెటప్ చేయడం, రాజీపడిన పరికరంలో ఫైల్ సిస్టమ్ యొక్క తారుమారు చేయడం, అలాగే కమాండ్-అండ్-కంట్రోల్ (C2, C&C) ఇన్‌ఫ్రాస్ట్రక్చర్‌తో కమ్యూనికేషన్‌ను నిర్వహించడం.

స్లింగ్‌షాట్ రాజీపడిన సిస్టమ్‌ల నుండి గణనీయమైన సమాచారాన్ని సేకరిస్తుంది. మాల్వేర్ కీబోర్డ్ డేటా, నెట్‌వర్క్ డేటా, USB కనెక్షన్‌లు, పాస్‌వర్డ్‌లు, వినియోగదారు పేర్లు, క్లిప్‌బోర్డ్‌ని యాక్సెస్ చేయడం, స్క్రీన్‌షాట్‌లు తీయడం మొదలైనవి పొందవచ్చు. స్లింగ్‌షాట్ కెర్నల్-స్థాయి యాక్సెస్‌ని కలిగి ఉంది అంటే దాడి చేసేవారు క్రెడిట్/ వంటి ఏదైనా తమకు కావలసిన వాటిని సమర్ధవంతంగా సేకరించవచ్చని అర్థం. డెబిట్ కార్డ్ వివరాలు, సామాజిక భద్రత సంఖ్యలు మరియు పాస్‌వర్డ్‌లు. సేకరించిన డేటా మొత్తం ప్రామాణిక నెట్‌వర్క్ ఛానెల్‌ల ద్వారా తొలగించబడుతుంది. మాల్వేర్ దాని అసాధారణ ట్రాఫిక్‌ను చట్టబద్ధమైన కాల్-బ్యాక్‌లలో దాచిపెడుతుంది, ఏదైనా స్లింగ్‌షాట్ ప్యాకేజీల కోసం తనిఖీలు చేస్తుంది మరియు వినియోగదారుకు ఫిల్టర్ చేయబడిన సాధారణ ట్రాఫిక్‌ను మరియు ఇన్‌స్టాల్ చేయబడే ఏవైనా సంభావ్య స్నిఫర్ అప్లికేషన్‌లను మాత్రమే తిరిగి ఇస్తుంది.