درب‌پشتی SLUB در حملات هدفمند از GitHub و Slack استفاده می‌کند

پژوهش‌گران بدافزار شرکت ترندمیکرو قطعه‌ی بدافزاری جدیدی به نام SLUB مشاهده کرده‌اند که برای ارتباطات دستور و کنترل از GitHub و Slack استفاده می‌کند. به‌گفته‌ی کارشناسان، درب‌پشتی SLUB تنها در حملات هدفمند توسط عاملان تهدید مورد استفاده قرار گرفته و اولین قطعه‌ی بدافزاری است که واقعاً از Slack برای ارتباطات C2 استفاده می‌کند.

مهاجمان از حملات watering hole برای انتقال این بدافزار استفاده می‌کنند و از آسیب‌پذیری CVE-2018-8174 بهره‌برداری می‌کنند که یک آسیب‌پذیری موتور VBScript است که توسط مایکروسافت در ماه می سال ۲۰۱۸ میلادی وصله شده است. این کد بهره‌برداری یک فایل DLL انتقال می‌دهد و آن را بااستفاده از پاورشِل اجرا می‌کند و فایل دیگری را که حاوی درب‌پشتی واقعی است، استخراج و اجرا می‌کند. کد مرحله‌ی اول وجود انواع برنامه‌های ضد بدافزار را بررسی می‌کند و در صورت وجود اجرای آن‌ها را متوقف می‌کند. برنامه‌ی بارگیری نیز از آسیب‌پذیری ویندوز CVE-2015-1701 برای ارتقاء امتیاز بهره‌برداری می‌کند.

بدافزار SLUB پس از نصب در سیستم هدف، صفحات خاص GitHub را بررسی می‌کند تا دستورات را بازیابی کند. زمانی که این بدافزار دستورات را اجرا می‌کند، نتایج به یک کانال خصوصی Slack تحت کنترل مهاجمان ارسال می‌شود. کارشناسان در کد این بدافزار دو توکن احراز هویت رمزگذاری‌شده کشف کرده‌اند که امکان کنترل کانال Slack را فراهم می‌کند. بررسی‌های فنی و تجزیه و تحلیل ابزارها، روش‌ها و رویه‌های مهاجمان چنین دیدگاهی را ایجاد می‌کند که این تهدید واقعاً یک حمله‌ی هدفمند مخفیانه است که توسط عاملان توانمند انجام می‌شود و یک برنامه‌ی مجرمانه‌ی سایبری خاص نیست.

SLUB از چند دستور ازجمله بارگیری و بارگذاری فایل‌ها، فهرست کردن فایل‌ها در سیستم، ایجاد و حذف فولدرها، دست‌یابی به اطلاعات سیستم، گرفتن اسکرین‌شات و اجرای عملیات رجیستری پشتیبانی می‌کند. منحصربه‌فردترین جنبه‌ی این پویش نیز این است که از سه سرویس آنلاین متفاوت برای صدور دستورات، دریافت نتایج و بازیابی فایل‌ها از میزبان‌های آسیب‌دیده استفاده می‌کند. ترندمیکرو یافته‌های خود را با GitHub و Slack به‌اشتراک گذاشته است و هر دو شرکت اقدام به حذف فایل‌ها و کانال‌های مربوطه کرده‌اند.

منبع

پست‌های مشابه

Leave a Comment