SLUB Malware
De SLUB Malware is een achterdeurbedreiging geschreven in de C ++ -taal. De naam komt van de combinatie van Slack en GitHube, beide legitieme services die door de dreiging werden misbruikt als onderdeel van de Command-and-Control-infrastructuur. SLUB misbruikt verschillende kwetsbaarheden als aanvalsvector om toegang te krijgen tot de beoogde computers. De aanvalsketen is complex en omvat meerdere fasen en payloads.
Nadat een kwetsbaarheid als toegangspunt met succes is misbruikt, wordt een DLL-bestand dat als lader fungeert, op het aangetaste apparaat neergezet. Deze downloader in de eerste fase wordt vervolgens door PowerShell geleid om de daadwerkelijke SLUB Malware-payload te leveren. De lader voert ook een controle uit op anti-malwareprogramma's die op het beoogde apparaat zijn geïnstalleerd door het te scannen aan de hand van een vooraf gedefinieerde lijst. Als er een overeenkomst wordt gevonden, stopt de malware de uitvoering ervan.
Eenmaal volledig geïmplementeerd, geeft de SLUB Malware aanzienlijke controle over het apparaat aan de hackers. Ze kunnen vervolgens willekeurige opdrachten geven om een breed scala aan bedreigende activiteiten uit te voeren. SLUB kan schermafbeeldingen maken, het bestandssysteem manipuleren, opdrachten uitvoeren, processen weergeven en beëindigen, en het register van de computer wijzigen.
SLUB verlaat Slack en GitHub en exploiteert nu Mattermost
De nieuwste SLUB-versie die moet worden geïmplementeerd in een campagne in water-hole-stijl gebruikt Slack of GitHub niet langer in zijn C2-structuur. In plaats daarvan kozen de hackers ervoor misbruik te maken van een open-source online chatservice genaamd Mattermost. Deze chatservice wordt gebruikt als een manier om de SLUB-campagne bij te houden door voor elk besmet slachtoffer een apart kanaal te creëren.
Het doel van de hackers is om legitieme websites te compromitteren en hen te dwingen malware te hosten en te verspreiden. De campagne omvat vijf verschillende C2-servers en maakt gebruik van vier nieuwe kwetsbaarheden. Chrome-gebruikers worden omgeleid naar een bewapende proof of concept-versie van de CVE-2019-5782 Google Chrome-kwetsbaarheid, evenals een kwetsbaarheid die momenteel geen toegewezen aanduiding heeft. Door de exploits worden drie afzonderlijke malware-payloads op de beoogde computer gedropt, waarvan er één de SLUB Malware is. Terwijl de Chrome-kant van de aanvalscampagne shellcode gebruikt, wordt in plaats daarvan PowerShell gebruikt als het gaat om Internet Explorer. De misbruikte kwetsbaarheid is natuurlijk ook anders - CVE-2020-0674.
