22/10/20
Специалисты компании Trend Micro рассказали о новой вредоносной кампании с использованием бэкдора SLUB, получившей название Operation Earth Kitsune. В ходе кампании злоумышленники шпионят за пользователями через скомпрометированные сайты.
Исследователи Trend Micro впервые обнаружили SLUB в прошлом году, теперь же они выявили вредоносную кампанию watering hole, в ходе которой злоумышленники используют новый вариант вредоноса. В свое время вредоносное ПО получило название SLUB, поскольку использовало Slack и GitHub, однако в новом варианте бэкдора эти платформы не используются. Вместо них SLUB теперь полагается на сервис для общения с открытым исходным кодом Mattermost.
В ходе кампании Operation Earth Kitsune используется пять C&C-серверов, семь образцов вредоносного ПО и четыре новые уязвимости для компрометации сайтов с целью хостинга вредоносного ПО.
Исследователи начали свое расследование после того, как сайт организации Korean American National Coordinating Council (KANCC) стал переадресовывать пользователей на сайт Hanseattle, который перенаправлял их на эксплоит для уязвимости CVE-2019-5782 в Google Chrome. Копнув глубже, специалисты обнаружили, что атака включает не только упомянутый эксплоит, но и три отдельных образца вредоносного ПО (SLUB, dneSpy и agfSpy). В то время как цель SLUB в этой кампании – кража системной информации, два других варианта вредоносного ПО предназначены для получения дополнительного контроля над компьютером жертвы.
Помимо уязвимости в Google Chrome злоумышленники также эксплуатируют уязвимости в Internet Explorer ( CVE-2020-0674 , CVE-2016-0189 , CVE-2019-1458 ).
