پژوهشگران امنیتی ترند میکرو اعلام کردند که عامل تهدید مربوط به دربپشتی SLUB برای اهداف توزیع خود شروع به سوءاستفاده از یک آسیبپذیری وصلهشدهی اینترنت اکسپلورر کرده است. برای توزیع این بدافزار، اپراتورهای آن از یک وبگاه watering hole منحصر به فرد استفاده میکنند که آسیبپذیری CVE-2018-8174 را که یک آسیبپذیری موتور VBScript است، هدف قرار میدهد. بااینکه روش توزیع همان است، مهاجمان بهرهبرداری از CVE-2019-0752 را که یک آسیبپذیری اینترنت اکسپلورر وصلهشده در ماه آوریل سال ۲۰۱۹ میلادی است، به نمونه کارهای خود اضافه کردهاند.
ترند میکرو یادآور شد که هردوی وبگاههایی که بدافزار SLUB را بهطور همزمان یا غیرهمزمان توزیع کردند تحت حمایت دولت کرهی شمالی هستند. در ابتدا در ماه مارس سال جاری اعلام شد که SLUB بهخاطر استفاده از گیتهاب و Slack برای اهداف ارتباطی دستور و کنترل (C&C) مشهور شد. به نظر میرسد که اپراتورهای این دربپشتی، آن را برای استفاده از Slack بهروزرسانی کردند.
درحالحاضر این تهدید از طریق دو فضای کاری، برای اهداف ارتباطی خود بهشدت به Slack وابسته است. Slack به کاربران اجازه میدهد تا کانالهایی مشابه سیستم چت اینترنتی ایجاد کنند. بهگفتهی ترند میکرو، Slack دربارهی سوءاستفاده از فضای کاری ارتباطات SLUB هشدار داده و اقداماتی برای بستن آنها انجام داده است.
در مرحلهی آلودهسازی، یک بارگذار SLUB به سیستمهای آسیبپذیر انتقال داده میشود. این زنجیرهی آلودگی مشابه توزیع بدافزارهای قبلی است، اما از روشهای متفاوتی برای دور زدن آنتیویروس و الگوریتمهای یادگیری ماشین استفاده میشود. از پاورشل برای توزیع، از Rundll32 برای فراخوانی یک فایل DLL مخرب و همچنین از یک API ویندوز واقعی استفاده میشود. براساس معماری این سیستم، از CVE-2019-0808 یا CVE-2019-0803 برای افزایش امتیاز بهرهبرداری میشود.
این بارگذار معماری سیستم را بررسی میکند تا تصمیم بگیرد که کدام نسخهی بدافزار SLUB را بارگیری و اجرا کند. ترند میکرو اعلام میکند که همهی بهرهبرداریها، بارگذارها و بدافزار SLUB بهطور مستقیم در وبگاههای watering hole میزبانی میشوند. هنگامیکه یک سیستم آلوده میشود، به فضای کاری Slack مهاجمان که در آن یک کانال جداگانه به نام <use_name>-<pc_name> ایجاد میشود، میپیوندد. ارتباطات دستور و کنترل بهطور انحصاری از طریق این کانالهای Slack ایجاد میشود.
فضای کاری مهاجمان حداقل از پایان ماه مِی فعال بوده است و یکی از کاربران منطقهی زمانی خود را به زمان استاندارد کره تنظیم کرده است. برای ارسال دستورات به یک دستگاه آلوده، اپراتور پیامی را به کانال مربوطه ارسال میکند. سپس دستگاه قربانی دستور را میخواند و آن را اجرا میکند و درصورتیکه به آن دستور داده شده باشد تا از صفحه تصویر تهیه کند، با بارگذاری تصویر صفحه و به اشتراکگذاری لینک فایل پاسخ میدهد.
ترند میکرو بیان میکند که این حمله در سطح حرفهای است و استفادهی مداوم از خدمات برخط مانند Slack، cock.li و pen.io ردیابی این عامل تهدید را سختتر میکند. این بدافزار بهطور گسترده منتشر نشده است و این مسأله نشان میدهد که از آن تنها برای هدف قرار دادن اشخاص خاصی استفاده میشود که از وبگاه watering hole خاصی بازدید میکنند.