Операторы бэкдора SLUB ввели в оборот новое поколение зловреда, изменив используемый эксплойт и перестроив модель обмена данными с управляющим сервером. Актуальная версия программы принимает команды через закрытые каналы в Slack.

Эксперты обнаружили SLUB в марте, через несколько недель после его первых атак. Особенность зловреда заключалась в том, что коммуникация с сервером шла через сервисы Slack и GitHub. Это позволило операторам не регистрировать собственные домены. По словам аналитиков, бэкдор создала некая профессиональная APT-группировка, которой пока удается заметать следы.

Распространение SLUB

Кампании SLUB построены на технике watering hole — преступники внедряют зловред в сайты, которые посещают намеченные жертвы. Первое поколение бэкдора использовало уязвимость CVE-2018-8174 в движке VBScript. В актуальной версии исследователи обнаружили эксплойт для CVE-2019-0752 — пропатченного в апреле бага Internet Explorer. Отмечается, что это первый случай использования данной уязвимости в кибератаках.

В ходе последних кампаний SLUB распространялся через два интернет-ресурса, причем обе площадки публикуют материалы в поддержку КНДР.

При посещении сайтов через непропатченный Internet Explorer пользователь получал на компьютер вредоносный загрузчик. Этот модуль скачивал SLUB, используя комплекс мер для обхода эвристических методов обнаружения вредоносных программ. Для повышения привилегий загрузчик применял CVE-2019-0808 (в случае x86-систем) и CVE-2019-0803 (при попадании на машину с архитектурой x64). Версии полезной нагрузки также менялись в зависимости от разрядности ОС.

Коммуникация через Slack

Операторы кампании создали два рабочих пространства Slack, к которым присоединялись зараженные хосты. Каждая машина также получала отдельный канал, где злоумышленники и публиковали команды. Стоит отметить, что первое поколение бэкдора получало инструкции через сниппет GitHub, поэтому преступники не могли поддерживать целевую коммуникацию с отдельными хостами. Применение закрытых каналов решает эту проблему.

Функциональность SLUB не претерпела значительных изменений — операторы могут использовать бэкдор, чтобы делать снимки экрана, загружать сторонние файлы и проводить иные несанкционированные операции.

Специалисты пришли к выводу, что главная цель преступников — наблюдение за конкретными жертвами, однако другие подробности пока остаются неизвестными. Единственное, что можно сказать точно: SLUB явно создан  для целевых атак.

К настоящему моменту оба пространства Slack, использованных злоумышленниками, заблокированы. Представители корпоративного мессенджера подчеркнули, что произошедшее не повлияло на безопасность их пользователей.

Ранее эксперты Kaspersky изучили модульный бэкдор Plurox, который используется для распространения скрытых майнеров и прочей полезной нагрузки. Зловред поражал своих жертв через уязвимость EternalBlue, которая сохраняет актуальность даже более чем через два года после публикации.

Категории: Аналитика, Вредоносные программы