SLUB Malware

Die SLUB-Malware ist eine Backdoor-Bedrohung, die in der C ++ - Sprache geschrieben wurde. Der Name stammt von der Kombination von Slack und GitHube, beides legitime Dienste, die von der Bedrohung als Teil der Command-and-Control-Infrastruktur missbraucht wurden. SLUB missbraucht verschiedene Sicherheitslücken als Angriffsvektor, um Zugriff auf die Zielcomputer zu erhalten. Die Angriffskette ist komplex und umfasst mehrere Stufen und Nutzlasten.

Nach dem erfolgreichen Ausnutzen einer Sicherheitsanfälligkeit als Zugriffspunkt wird eine DLL-Datei, die als Loader fungiert, auf dem gefährdeten Gerät abgelegt. Dieser Downloader der ersten Stufe wird dann über PowerShell ausgeführt, um die tatsächliche Nutzlast der SLUB-Malware bereitzustellen. Der Loader führt auch eine Überprüfung auf auf dem Zielgerät installierte Anti-Malware-Programme durch, indem er es anhand einer vordefinierten Liste scannt. Wenn eine Übereinstimmung gefunden wird, stoppt die Malware ihre Ausführung.

Nach der vollständigen Bereitstellung bietet die SLUB-Malware den Hackern eine umfassende Kontrolle über das Gerät. Sie können dann beliebige Befehle erteilen, um eine Vielzahl von Bedrohungsaktivitäten auszuführen. SLUB kann Screenshots machen, das Dateisystem manipulieren, Befehle ausführen, Prozesse auflisten und beenden sowie die Registrierung des Computers ändern.

SLUB gräbt Slack und GitHub und nutzt jetzt Mattermost

Die neueste SLUB-Version, die in einer Kampagne im Wasserlochstil bereitgestellt werden soll, verwendet Slack oder GitHub nicht mehr in ihrer C2-Struktur. Stattdessen haben die Hacker einen Open-Source-Online-Chat-Dienst namens Mattermost missbraucht. Dieser Chat-Dienst wird verwendet, um die SLUB-Kampagne zu verfolgen, indem für jedes infizierte Opfer ein separater Kanal erstellt wird.

Das Ziel der Hacker ist es, legitime Websites zu kompromittieren und sie zu zwingen, Malware zu hosten und zu verbreiten. Die Kampagne umfasst fünf verschiedene C2-Server und nutzt vier neue Sicherheitslücken aus. Chrome-Nutzer werden zu einer waffenfähigen Proof-of-Concept-Version der Google Chrome-Sicherheitsanfälligkeit CVE-2019-5782 sowie zu einer Sicherheitsanfälligkeit weitergeleitet, der derzeit keine Bezeichnung zugewiesen wurde. Durch die Exploits werden drei separate Malware-Nutzdaten auf den Zielcomputer übertragen, von denen eine die SLUB-Malware ist. Während die Chrome-Seite der Angriffskampagne Shellcode verwendet, wird PowerShell stattdessen für Internet Explorer verwendet. Die missbrauchte Sicherheitslücke ist natürlich auch anders - CVE-2020-0674.