Misstänkta iranska hackare riktar in sig på flygbolag med ny bakdörr

0
147

Charlie OsborneSkrivet av Charlie Osborne, bidragsgivare Charlie Osborne Charlie Osborne Bidragsgivare

Charlie Osborne är en cybersäkerhetsjournalist och fotograf som skriver för ZDNet och CNET från London. PGP-nyckel: AF40821B.

Fullständig biografi publicerad i Zero Day den 16 december 2021 | Ämne: Säkerhet

En misstänkt, statligt sponsrad iransk hotgrupp har attackerat ett flygbolag med en aldrig tidigare skådad bakdörr.

På onsdagen sa cybersäkerhetsforskare från IBM Security X-Force att ett asiatiskt flygbolag var föremål för attacken, som troligen började i oktober 2019 fram till 2021.  

Den avancerade persistenta hotgruppen (APT) ITG17, även känd som MuddyWater, utnyttjade en gratis arbetsplatskanal på Slack för att hysa skadligt innehåll och för att fördunkla kommunikation mellan skadliga kommando-och-kontroll-servrar (C2).

“Det är oklart om motståndaren lyckades exfiltrera data från offermiljön, även om filer som hittats på hotaktörens C2-server tyder på möjligheten att de kan ha kommit åt reservationsdata”, säger IBM.

Slack messaging Application Program Interface (API) missbrukades av en ny bakdörr utplacerad av APT med namnet “Aclop.” Aclip kan utnyttja API:et för att både skicka data och ta emot kommandon – med systemdata, skärmdumpar och filer som skickas till en angriparkontrollerad Slack-kanal.

Totalt sett användes tre separata kanaler av bakdörren för att tyst exfiltrera information. När den väl installerats och körts samlade bakdörren in grundläggande systemdata inklusive värdnamn, användarnamn och IP-adresser som sedan skickades till den första Slack-kanalen efter kryptering.

Den andra kanalen användes för att kontrollera om kommandon skulle köras, och resultaten av dessa kommandon – såsom filuppladdningar – skickades sedan till den tredje Slack-arbetsytan.

Även om Aclip är en ny bakdörr, är Aclip inte den enda skadliga programvaran som är känd för att missbruka Slack – vilket bör noteras för företagsteam eftersom verktyget är värdefullt för dem som nu ofta arbetar hemifrån eller i hybriduppställningar. Golang-baserade Slack C2bot utnyttjar också Slack API för att underlätta C2-kommunikation, och SLUB-bakdörren använder auktoriserade tokens för att prata med sin C2-infrastruktur.

I ett uttalande sa Slack: “Vi undersökte och stängde omedelbart ner de rapporterade Slack Workspaces som ett brott mot våra användarvillkor.”

“Vi bekräftade att Slack inte kompromettades på något sätt som en del av denna incident, och ingen Slack kunddata exponerades eller var i riskzonen. Vi har åtagit oss att förhindra missbruk av vår plattform och vi vidtar åtgärder mot någon som bryter mot våra användarvillkor.”

Tidigare och relaterad bevakning

Flygbolag varnar passagerare för dataintrång efter att en leverantör av flygteknik drabbats av cyberattack
American Airlines gjorde precis ett häpnadsväckande erkännande om framtiden
Vad flygbolagen säger om återkomsten av affärsresor

Har du ett tips? Ta kontakt säkert via WhatsApp | Signalera på +447713 025 499, eller över på Keybase: charlie0

Säkerhets-TV | Datahantering | CXO | Datacenter