Logiciel malveillant SLUB

Le logiciel malveillant SLUB est une menace de porte dérobée écrite en langage C ++. Son nom vient de la combinaison de Slack et GitHube, deux services légitimes qui ont été abusés par la menace dans le cadre de son infrastructure de commandement et de contrôle. SLUB abuse de diverses vulnérabilités en tant que vecteur d'attaque pour accéder aux ordinateurs ciblés. La chaîne d'attaque est complexe et implique plusieurs étapes et charges utiles.

Après avoir exploité avec succès une vulnérabilité en tant que point d'accès, un fichier DLL fonctionnant comme un chargeur est déposé sur le périphérique compromis. Ce téléchargeur de première étape est ensuite exécuté via PowerShell pour fournir la charge utile SLUB Malware réelle. Le chargeur effectue également une vérification des programmes anti-malware installés sur l'appareil ciblé en le scannant par rapport à une liste prédéfinie. Si une correspondance est trouvée, le malware arrête son exécution.

Une fois pleinement déployé, le logiciel SLUB Malware donne un contrôle significatif de l'appareil aux pirates. Ils peuvent ensuite émettre des commandes arbitraires pour effectuer un large éventail d'activités menaçantes. SLUB peut prendre des captures d'écran, manipuler le système de fichiers, exécuter des commandes, répertorier et terminer des processus et modifier le registre de l'ordinateur.

SLUB abandonne Slack et GitHub et exploite désormais Mattermost

La dernière version de SLUB à être déployée dans une campagne de style trou d'eau n'utilise plus Slack ou GitHub dans sa structure C2. Au lieu de cela, les pirates ont choisi d'abuser d'un service de chat en ligne open source appelé Mattermost. Ce service de chat est utilisé pour suivre la campagne SLUB en créant un canal distinct pour chaque victime infectée.

L'objectif des pirates est de compromettre des sites Web légitimes et de les forcer à héberger et à diffuser des logiciels malveillants. La campagne implique cinq serveurs C2 différents et exploite quatre nouvelles vulnérabilités. Les utilisateurs de Chrome sont redirigés vers une version de preuve de concept militarisée de la vulnérabilité CVE-2019-5782 de Google Chrome, ainsi que vers une vulnérabilité à laquelle aucune désignation n'est actuellement attribuée. Grâce aux exploits, trois charges utiles de logiciels malveillants distinctes sont déposées sur l'ordinateur ciblé, dont l'un est le logiciel malveillant SLUB. Alors que le côté Chrome de la campagne d'attaque utilise le shellcode, PowerShell est utilisé à la place lorsqu'il s'agit d'Internet Explorer. La vulnérabilité abusée est, bien sûr, également différente - CVE-2020-0674.