Charlie Osborne er en cybersikkerhetsjournalist og fotograf som skriver for ZDNet og CNET fra London. PGP-nøkkel: AF40821B.
Full bio publisert i Zero Day 16. desember 2021 | Emne: Sikkerhet
En mistenkt, statsstøttet iransk trusselgruppe har angrepet et flyselskap med en aldri tidligere sett bakdør.
Onsdag sa cybersikkerhetsforskere fra IBM Security X-Force at et asiatisk flyselskap var gjenstand for angrepet, som sannsynligvis begynte i oktober 2019 til 2021.
Den avanserte vedvarende trusselen (APT)-gruppen ITG17, også kjent som MuddyWater, utnyttet en gratis arbeidsområdekanal på Slack for å inneholde skadelig innhold og for å skjule kommunikasjon mellom ondsinnede kommando-og-kontroll-servere (C2).
“Det er uklart om motstanderen klarte å eksfiltrere data fra offermiljøet, selv om filer funnet på trusselaktørens C2-server antyder muligheten for at de kan ha tilgang til reservasjonsdata,” sier IBM.
Slack messaging Application Program Interface (API) ble misbrukt av en ny bakdør utplassert av APT kalt “Aclop.” Aclip er i stand til å utnytte API til både å sende data og motta kommandoer – med systemdata, skjermbilder og filer sendt til en angriperkontrollert Slack-kanal.
Totalt sett ble tre separate kanaler brukt av bakdøren for å stille ut informasjon. Når den var installert og utført, samlet bakdøren grunnleggende systemdata inkludert vertsnavn, brukernavn og IP-adresser som deretter ble sendt til den første Slack-kanalen etter kryptering.
Den andre kanalen ble brukt til å se etter kommandoer som skulle utføres, og resultatene av disse kommandoene – for eksempel filopplasting – ble deretter sendt til det tredje Slack-arbeidsområdet.
Selv om Aclip er en ny bakdør, er ikke Aclip den eneste skadevare som er kjent for å misbruke Slack – noe som bør være verdt å merke seg for bedriftsteam, siden verktøyet er verdifullt for de som nå ofte jobber hjemmefra eller i hybride oppsett. Golang-baserte Slack C2bot utnytter også Slack API for å lette C2-kommunikasjon, og SLUB-bakdøren bruker autoriserte tokens for å snakke med C2-infrastrukturen.
I en uttalelse sa Slack: “Vi undersøkte og stengte umiddelbart de rapporterte Slack Workspaces som et brudd på våre vilkår for bruk.”
“Vi bekreftet at Slack ikke ble kompromittert på noen måte som en del av denne hendelsen, og ingen Slack-kundedata ble eksponert eller i fare. Vi er forpliktet til å forhindre misbruk av plattformen vår, og vi iverksetter tiltak mot alle som bryter våre vilkår for bruk.”
Tidligere og relatert dekning
Flyselskaper advarer passasjerer om datainnbrudd etter at luftfartsteknologileverandøren ble rammet av nettangrep
American Airlines kom nettopp med en oppsiktsvekkende innrømmelse om fremtiden
Hva flyselskapene sier om retur av forretningsreiser
Har du et tips? Ta kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Security TV | Databehandling | CXO | Datasentre