ads header

Breaking News

Slack, GitHub bị tin tặc lợi dụng làm máy chủ liên lạc cho SLUB - biến thể backdoor mới nhất của mình

3/07/2019 05:58:00 CH , , , , , , , , , , ,

SLUB - Một biết thể backdoor mới vừa được phát hiện đang sử dụng dịch vụ Github Gist và hệ thống tin nhắn của Slack để làm kênh liên lạc với tin tặc, đang nhắm mục tiêu vào hàng loạt nạn nhân với các cuộc tấn công có chủ đích.

Slack, GitHub bị tin tặc lợi dụng làm máy chủ liên lạc cho SLUB - biến thể backdoor mới nhất của mình - CyberSec365.org
Slack, GitHub bị tin tặc lợi dụng làm máy chủ liên lạc cho SLUB - biến thể backdoor mới nhất của mình - CyberSec365.org
Theo đó, cửa hậu này (được đặt tên là SLUB) được phát hiện bởi các nhà nghiên cứu bảo mật thuộc nhóm bảo mật Trend Micro Cyber Safety Solutions Team. SLUB sử dụng các thư viện curl, boost và JsonCpp được liên kết tĩnh để thực hiện yêu cầu HTTP, "trích xuất các lệnh từ đoạn trích chính" và "phân tích truyền thông kênh Slack". ( "extracting commands from gist snippets," and "parsing Slack channel communication.")
Chiến dịch phát tán cửa hậy này bị các nhà nghiên cứu báo mật phát hiện khi đang sử dụng Github và Slack để lây nhiễm qua nhiều giai đoạn.

Máy tính Windows được nhắm mục tiêu trong chiến dịch này.

Tác giả của cửa hậu SLUB đã tích hợp vào mã độc này một công cụ được sử dụng để khai thác lỗ hổng có mã hiệu CVE-2018-8174 - lỗ hổng có thể cho phép tin tặc thực thi mã lệnh tuỳ ý từ xa. Với lỗ hổng này, khi người dùng truy cập một trang web bị chèn mã độc, máy tính sẽ tự động tải xuống một tập tin PowerShell được giả dạng như một tệp DLL.
Slack, GitHub bị tin tặc lợi dụng làm máy chủ liên lạc cho SLUB - biến thể backdoor mới nhất của mình - CyberSec365.org
Slack, GitHub bị tin tặc lợi dụng làm máy chủ liên lạc cho SLUB - biến thể backdoor mới nhất của mình - CyberSec365.org
Trước khi được tải xuống, trình tải xuống sẽ bắt đầu kiểm tra các giải pháp phòng chống mã độc trên thiết bị, nếu phát hiện bất cứ phần mềm Anti-Virus nào, mã độc sẽ tự động thoát. Đây được xem như một biện pháp phòng chống bị phát hiện rất phổ biến trong các chiến dịch tấn công có chủ đích.
Nếu không phát hiện phần mềm Anti-Virus nào, mã độc này sẽ tiếp tuc được tải xuống và tiến hành thực thi giai đoạn hai. Ở giai đoạn này, SLUB sẽ tiến hành khai thác lỗ hổng CVE-2015-1701 - một lỗ hổng nằm trong Windows kernel-mode driver, cho phép tin tặc tiến hành các cuộc tấn công leo thang đặc quyền.
Ngoài ra, SLUB cũng tạo ra các Run key trong Windows Registry để có thể duy trì sự tồn tại lâu dài của mình trên thiết bị. Sau đó, nó sẽ tiến hành tải về một Gist snippet - tệp lưu trữ các lệnh tấn công mà tin tặc muốn mã độc thực thi.
Các nhà nghiên cứu của Trend Micro cũng lưu ý rằng, bằng cách chọn sử dụng đoạn mã Gist để đưa ra các lệnh cho cửa sau SLUB, những kẻ tấn công đã từ bỏ khả năng cá nhân hóa các lệnh cho từng nạn nhân cụ thể, gợi ý rằng chiến dịch được thiết kế dưới dạng ép và thu thập dữ liệu hoạt động, không có ý định thiết kế một quy trình lạm dụng tùy chỉnh cho từng mục tiêu bị nhiễm.
Slack, GitHub bị tin tặc lợi dụng làm máy chủ liên lạc cho SLUB - biến thể backdoor mới nhất của mình - CyberSec365.org
Slack, GitHub bị tin tặc lợi dụng làm máy chủ liên lạc cho SLUB - biến thể backdoor mới nhất của mình - CyberSec365.org
Bất cứ kết quả nào SLUB nhận được sau khi thực hiện các lệnh được tìm thấy trong đoạn mã Gist sẽ được chuyển sang kênh Slack. Mặt khác, phần mềm độc hại cũng được sử dụng để đóng gói nội dung thư mục Desktop của nạn nhân và dữ liệu lịch sử Skype, tải lên không gian lưu trữ đám mây File.io được kiểm soát bởi các tin tặc.
Slack, GitHub bị tin tặc lợi dụng làm máy chủ liên lạc cho SLUB - biến thể backdoor mới nhất của mình - CyberSec365.org
Slack, GitHub bị tin tặc lợi dụng làm máy chủ liên lạc cho SLUB - biến thể backdoor mới nhất của mình - CyberSec365.org
Theo báo cáo của Trend Micro Cyber Safety Solutions Team, tại thời điểm viết bài, Slack đã vô hiệu hóa workspace được sử dụng trong cuộc tấn công và GitHub tài khoản lưu trữ đoạn mã Gist được sử dụng để gửi lệnh đến phần mềm độc hại SLUB.
As noted in their post, Trend Micro recently discovered a third party’s unauthorized access of another third party’s computer using malware, and reported to us the existence of a Workspace on Slack related to this effort. We investigated and immediately shut down the single Workspace as a violation of our terms of service, and we confirmed that Slack was not compromised in any way as part of this incident. We are committed to preventing the misuse of our platform and we will take action against anyone who violates our terms of service.

Backdoor sẽ là mối hiểm hoạ nguy hiểm trong năm 2019?

Chi trong hơn gần 70 ngày đầu năm 2019, có tổng cộng 3 biến thể backdoor được phát hiện, nhắm mục tiêu vào người dùng Windows bằng cách sử dụng các lỗ hổng khai thác cũ bao gồm: Chiến dịch phát tán mã độc More_eggs trên Linkedin; chiến dịch phát tán mã độc khai thác lỗ hổng trên winrar; và chiến dịch phát tán mã độc backdoor nhắm mục tiêu vào các máy MacOS và Linux để đào tiền ảo Monero
Nguồn: Bleeping Computer

Không có nhận xét nào

Đăng ký: Đăng Nhận xét ( Atom )