پژوهشگران بدافزار شرکت ترندمیکرو قطعهی بدافزاری جدیدی به نام SLUB مشاهده کردهاند که برای ارتباطات دستور و کنترل از GitHub و Slack استفاده میکند. بهگفتهی کارشناسان، دربپشتی SLUB تنها در حملات هدفمند توسط عاملان تهدید مورد استفاده قرار گرفته و اولین قطعهی بدافزاری است که واقعاً از Slack برای ارتباطات C2 استفاده میکند.
مهاجمان از حملات watering hole برای انتقال این بدافزار استفاده میکنند و از آسیبپذیری CVE-2018-8174 بهرهبرداری میکنند که یک آسیبپذیری موتور VBScript است که توسط مایکروسافت در ماه می سال ۲۰۱۸ میلادی وصله شده است. این کد بهرهبرداری یک فایل DLL انتقال میدهد و آن را بااستفاده از پاورشِل اجرا میکند و فایل دیگری را که حاوی دربپشتی واقعی است، استخراج و اجرا میکند. کد مرحلهی اول وجود انواع برنامههای ضد بدافزار را بررسی میکند و در صورت وجود اجرای آنها را متوقف میکند. برنامهی بارگیری نیز از آسیبپذیری ویندوز CVE-2015-1701 برای ارتقاء امتیاز بهرهبرداری میکند.
بدافزار SLUB پس از نصب در سیستم هدف، صفحات خاص GitHub را بررسی میکند تا دستورات را بازیابی کند. زمانی که این بدافزار دستورات را اجرا میکند، نتایج به یک کانال خصوصی Slack تحت کنترل مهاجمان ارسال میشود. کارشناسان در کد این بدافزار دو توکن احراز هویت رمزگذاریشده کشف کردهاند که امکان کنترل کانال Slack را فراهم میکند. بررسیهای فنی و تجزیه و تحلیل ابزارها، روشها و رویههای مهاجمان چنین دیدگاهی را ایجاد میکند که این تهدید واقعاً یک حملهی هدفمند مخفیانه است که توسط عاملان توانمند انجام میشود و یک برنامهی مجرمانهی سایبری خاص نیست.
SLUB از چند دستور ازجمله بارگیری و بارگذاری فایلها، فهرست کردن فایلها در سیستم، ایجاد و حذف فولدرها، دستیابی به اطلاعات سیستم، گرفتن اسکرینشات و اجرای عملیات رجیستری پشتیبانی میکند. منحصربهفردترین جنبهی این پویش نیز این است که از سه سرویس آنلاین متفاوت برای صدور دستورات، دریافت نتایج و بازیابی فایلها از میزبانهای آسیبدیده استفاده میکند. ترندمیکرو یافتههای خود را با GitHub و Slack بهاشتراک گذاشته است و هر دو شرکت اقدام به حذف فایلها و کانالهای مربوطه کردهاند.