SLUB Malware
SLUB Malware er en bagdørstrussel skrevet på C ++ - sproget. Dets navn kommer fra kombinationen af Slack og GitHube, begge legitime tjenester, der blev misbrugt af truslen som en del af dens Command-and-Control-infrastruktur. SLUB misbruger forskellige sårbarheder som en angrepsvektor for at få adgang til de målrettede computere. Angrebskæden er kompleks med flere trin og nyttelast.
Efter at have udnyttet en sårbarhed som et adgangspunkt med succes, sættes en DLL-fil, der fungerer som en loader, på den kompromitterede enhed. Denne download af første trin køres derefter gennem PowerShell for at levere den faktiske SLUB Malware-nyttelast. Læsseren udfører også en kontrol af anti-malware-programmer installeret på den målrettede enhed ved at scanne den mod en foruddefineret liste. Hvis der findes et match, stopper malware udførelsen.
Når den er fuldt implementeret, giver SLUB Malware betydelig kontrol over enheden til hackerne. De kan derefter udstede vilkårlige kommandoer for at udføre en bred vifte af truende aktiviteter. SLUB kan tage skærmbilleder, manipulere filsystemet, udføre kommandoer, liste og afslutte processer og ændre computerens registreringsdatabase.
SLUB grøfter Slack og GitHub og udnytter nu Mattermost
Den seneste SLUB-version, der er implementeret i en vandhul-kampagne, bruger ikke længere Slack eller GitHub i sin C2-struktur. I stedet valgte hackerne at misbruge en open source online chat-tjeneste kaldet Mattermost. Denne chattjeneste bruges som en måde at holde styr på SLUB-kampagnen ved at oprette en separat kanal for hvert inficeret offer.
Målet med hackerne er at kompromittere legitime websteder og tvinge dem til at være vært og distribuere malware. Kampagnen involverer fem forskellige C2-servere og udnytter fire nye sårbarheder. Chrome-brugere omdirigeres til en våbenbevist proof of concept-version af CVE-2019-5782 Google Chrome-sårbarheden såvel som en sårbarhed, der ikke har en tildelt betegnelse i øjeblikket. Gennem udnyttelsen falder tre separate malware-nyttelast på den målrettede computer, hvoraf den ene er SLUB Malware. Mens Chrome-siden af angrebskampagnen bruger shellcode, bruges PowerShell i stedet, når det kommer til Internet Explorer. Den misbrugte sårbarhed er naturligvis også anderledes - CVE-2020-0674.
