13/03/19
Исследователи компании Trend Micro обнаружили ранее неизвестный бэкдор SLUB, заинтересовавший их сразу по целому ряду причин. Во-первых, вредонос распространяется с помощью атак watering hole. Данная техника предполагает взлом сайта с целью перенаправления его посетителей на вредоносный код. В случае с SLUB каждая жертва перенаправляется только один раз. Заражение происходит через уязвимость в VBScript (CVE-2018-8174), исправленную Microsoft в мае прошлого года.
Бэкдор был обнаружен исследователями Trend Micro в ходе таргетированной атаки на некоммерческую организацию Korean American National Coordinating Council, публикующей статьи о политике Южной и Северной Кореи. Вредонос использовался для сбора информации об активности жертв в Twitter, Skype, KakaoTalk и пр.
Во-вторых, процесс инфицирования вредоносом проходит в несколько этапов. После эксплуатации вышеупомянутой уязвимости на атакуемую систему загружается файл DLL и запускается с помощью команд PowerShell. Этот файл представляет собой загрузчик для загрузки второго исполняемого файла, содержащего бэкдор. Первый файл также проверяет атакуемую систему на наличие антивирусного ПО и в случае его выявления сворачивает операцию. На момент обнаружения бэкдор не детектировался антивирусными продуктами.
Что интересно, вредонос подключается к корпоративному мессенджеру Slack. До сих пор о случаях использования вредоносным ПО в коммуникационных целях платформы Slack не сообщалось.
Как показали результаты анализа используемых операторами бэкдора тактик, техник и процедур (TTP), вредонос применяется в рамках тайных таргетированных атак, осуществляемых мощным противником, а не в рядовых киберпреступных схемах.
