درب‌پشتی SLUB از طریق آسیب‌پذیری وصله‌شده‌ی اینترنت اکسپلورر منتشر می‌شود

پژوهش‌گران امنیتی ترند میکرو اعلام کردند که عامل تهدید مربوط به درب‌پشتی SLUB برای اهداف توزیع خود شروع به سوء‌استفاده از یک آسیب‌پذیری وصله‌شده‌ی اینترنت اکسپلورر کرده است. برای توزیع این بدافزار، اپراتورهای آن از یک وب‌گاه watering hole منحصر به فرد استفاده می‌کنند که آسیب‌پذیری CVE-2018-8174 را که یک آسیب‌پذیری موتور VBScript است، هدف قرار می‌دهد. بااین‌که روش توزیع همان است، مهاجمان بهره‌برداری از CVE-2019-0752 را که یک آسیب‌پذیری اینترنت اکسپلورر وصله‌شده در ماه آوریل سال ۲۰۱۹ میلادی است، به نمونه کارهای خود اضافه کرده‌اند.

ترند میکرو یادآور شد که هردوی وب‌گاه‌هایی که بدافزار SLUB را به‌طور همزمان یا غیرهمزمان توزیع کردند تحت حمایت دولت کره‌ی شمالی هستند. در ابتدا در ماه مارس سال جاری اعلام شد که SLUB به‌خاطر استفاده از گیت‌هاب و Slack برای اهداف ارتباطی دستور و کنترل (C&C) مشهور شد. به نظر می‌رسد که اپراتورهای این درب‌پشتی، آن را برای استفاده از Slack به‌روزرسانی کردند.

درحال‌حاضر این تهدید از طریق دو فضای کاری، برای اهداف ارتباطی خود به‌شدت به Slack وابسته است. Slack به کاربران اجازه می‌دهد تا کانال‌هایی مشابه سیستم چت اینترنتی ایجاد کنند. به‌گفته‌ی ترند میکرو، Slack درباره‌ی سوء‌استفاده از فضای کاری ارتباطات SLUB‌ هشدار داده و اقداماتی برای بستن آن‌ها انجام داده است.

در مرحله‌ی آلوده‌سازی، یک بارگذار SLUB‌ به سیستم‌های آسیب‌پذیر انتقال داده می‌شود. این زنجیره‌ی آلودگی مشابه توزیع بدافزارهای قبلی است، اما از روش‌های متفاوتی برای دور زدن آنتی‌ویروس و الگوریتم‌های یادگیری ماشین استفاده می‌شود. از پاورشل برای توزیع، از Rundll32 برای فراخوانی یک فایل DLL مخرب و همچنین از یک API ویندوز واقعی استفاده می‌شود. براساس معماری این سیستم، از CVE-2019-0808 یا CVE-2019-0803 برای افزایش امتیاز بهره‌برداری می‌شود.

این بارگذار معماری سیستم را بررسی می‌کند تا تصمیم بگیرد که کدام نسخه‌ی بدافزار SLUB را بارگیری و اجرا کند. ترند میکرو اعلام می‌کند که همه‌ی بهره‌برداری‌ها، بارگذارها و بدافزار SLUB به‌طور مستقیم در وب‌گاه‌های watering hole میزبانی می‌شوند. هنگامی‌که یک سیستم آلوده می‌شود، به فضای کاری Slack مهاجمان که در آن یک کانال جداگانه به نام <use_name>-<pc_name> ایجاد می‌شود، می‌پیوندد. ارتباطات دستور و کنترل به‌طور انحصاری از طریق این کانال‌های Slack ایجاد می‌شود.

فضای کاری مهاجمان حداقل از پایان ماه مِی فعال بوده است و یکی از کاربران منطقه‌ی زمانی خود را به زمان استاندارد کره تنظیم کرده است. برای ارسال دستورات به یک دستگاه آلوده، اپراتور پیامی را به کانال مربوطه ارسال می‌کند. سپس دستگاه قربانی دستور را می‌خواند و آن را اجرا می‌کند و درصورتی‌که به آن دستور داده شده باشد تا از صفحه تصویر تهیه کند، با بارگذاری تصویر صفحه و به اشتراک‌گذاری لینک فایل پاسخ می‌دهد.

ترند میکرو بیان می‌کند که این حمله در سطح حرفه‌ای است و استفاده‌ی مداوم از خدمات برخط مانند Slack، cock.li و pen.io ردیابی این عامل تهدید را سخت‌تر می‌کند. این بدافزار به‌طور گسترده منتشر نشده است و این مسأله نشان می‌دهد که از آن تنها برای هدف قرار دادن اشخاص خاصی استفاده می‌شود که از وب‌گاه watering hole خاصی بازدید می‌کنند.

منبع

پست‌های مشابه

Leave a Comment