Ilgari noma’lum bo’lgan orqa eshik SLUB aloqa maqsadlarida Slack platformasidan foydalanadi
Kashf etilgan paytda, orqa eshik antivirus mahsulotlari tomonidan aniqlanmagan.
Trend Micro tadqiqotchilari ilgari noma’lum bo’lgan SLUB orqa eshikni kashf etdilar, bu esa ularning qiziqishini bir necha sabablarga ko’ra uyg’otdi. Birinchidan, zararli dastur suv o’tkazmaydigan hujumlar orqali tarqaladi. Bu usul tashrif buyuruvchilarni zararli kodga yo’naltirish uchun veb-saytni buzishni o’z ichiga oladi. SLUB bilan har bir qurbon faqat bir marta yo’naltiriladi. Infektsiya o’tgan yilning may oyida Microsoft tomonidan tuzatilgan VBScript (CVE-2018-8174) zaifligi orqali sodir bo’ladi. Ikkinchidan, zararli dasturni yuqtirish jarayoni bir necha bosqichlardan iborat. Yuqorida aytib o’tilgan zaiflikdan foydalangandan so’ng, DLL fayli maqsadli tizimga yuklab olinadi va PowerShell buyruqlari yordamida bajariladi. Ushbu fayl orqa eshikni o’z ichiga olgan ikkinchi bajariladigan fayl uchun yuklovchi vazifasini bajaradi. Birinchi fayl shuningdek, maqsadli tizimni antivirus dasturi uchun tekshiradi va agar aniqlansa, operatsiyani to’xtatadi. Aniqlanish vaqtida orqa eshik antivirus mahsulotlari tomonidan aniqlanmagan.
Qizig’i shundaki, zararli dastur Slack korporativ xabar almashish ilovasiga ulanadi. Hozircha zararli dasturlarning aloqa maqsadlarida Slackdan foydalanish holatlari qayd etilmagan.
Orqa eshik operatorlari tomonidan qo’llaniladigan taktika, texnika va protseduralar (TTP) tahlili shuni ko’rsatdiki, zararli dastur odatiy kiberjinoyatchilik sxemalarida emas, balki kuchli raqib tomonidan amalga oshiriladigan yashirin maqsadli hujumlarda qo’llaniladi.
