Mistænkte iranske hackere angriber flyselskab med ny bagdør

0
160

Charlie OsborneSkrevet af Charlie Osborne, bidragyder Charlie Osborne Charlie Osborne Bidragyder

Charlie Osborne er en cybersikkerhedsjournalist og fotograf, der skriver for ZDNet og CNET fra London. PGP-nøgle: AF40821B.

Fuld biografi udgivet i Zero Day den 16. december 2021 | Emne: Sikkerhed

En formodet, statssponsoreret iransk trusselgruppe har angrebet et flyselskab med en aldrig før set bagdør.

Onsdag sagde cybersikkerhedsforskere fra IBM Security X-Force, at et asiatisk flyselskab var genstand for angrebet, som sandsynligvis begyndte i oktober 2019 indtil 2021.  

Den avancerede vedvarende trussel (APT) gruppe ITG17, også kendt som MuddyWater, udnyttede en gratis workspace-kanal på Slack til at rumme ondsindet indhold og til at sløre kommunikation mellem ondsindede kommando-og-kontrol-servere (C2).

“Det er uklart, om modstanderen var i stand til at eksfiltrere data fra offermiljøet, selvom filer fundet på trusselsaktørens C2-server antyder muligheden for, at de kan have adgang til reservationsdata,” siger IBM.

Slack messaging Application Program Interface (API) blev misbrugt af en ny bagdør indsat af APT ved navn “Aclop.” Aclip er i stand til at udnytte API'et til både at sende data og modtage kommandoer – med systemdata, skærmbilleder og filer sendt til en angriberstyret Slack-kanal.

Samlet set blev tre separate kanaler brugt af bagdøren til stille og roligt at eksfiltrere information. Når den var installeret og udført, indsamlede bagdøren grundlæggende systemdata inklusive værtsnavne, brugernavne og IP-adresser, som derefter blev sendt til den første Slack-kanal efter kryptering.

Den anden kanal blev brugt til at kontrollere, om kommandoer skulle udføres, og resultaterne af disse kommandoer – såsom filuploads – blev derefter sendt til det tredje Slack-arbejdsområde.

Mens det er en ny bagdør, er Aclip ikke den eneste malware, der er kendt for at misbruge Slack – hvilket bør være værd at bemærke for virksomhedsteams, da værktøjet er værdifuldt for dem, der nu ofte arbejder hjemmefra eller i hybride opsætninger. Golang-baserede Slack C2bot udnytter også Slack API til at lette C2-kommunikation, og SLUB-bagdøren bruger autoriserede tokens til at tale med sin C2-infrastruktur.

I en erklæring sagde Slack: “Vi undersøgte og lukkede straks de rapporterede Slack Workspaces ned som en overtrædelse af vores servicevilkår.”

“Vi bekræftede, at Slack ikke blev kompromitteret på nogen måde som en del af denne hændelse, og ingen Slack-kundedata blev afsløret eller i fare. Vi er forpligtet til at forhindre misbrug af vores platform, og vi griber ind over for enhver, der overtræder vores servicevilkår.”

Tidligere og relateret dækning

Flyselskaber advarer passagerer om databrud, efter at luftfartsteknologileverandøren er ramt af cyberangreb
American Airlines har netop givet en overraskende indrømmelse om fremtiden
Hvad flyselskaberne siger om returnering af forretningsrejser

Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0

Security TV | Datastyring | CXO | Datacentre