黑客利用 Centreon 的 IT 監控工具入侵目標

與俄羅斯有關聯的國家支持的威脅者SandWorm被認為與一項為期三年的秘密行動有關，該行動利用一種名為Centreon的IT監控工具來入侵目標。

法國信息安全機構ANSSI在一份咨詢報告中說，入侵活動已破壞了“幾個法國實體”，據稱始于2017年末，一直持續到2020年，其中攻擊對網絡主機提供商的影響尤為嚴重。

該機構周一說： “在受到破壞的系統上，ANSSI發現以webshell形式出現的后門存在于暴露于互聯網的幾臺Centreon服務器上。” “此后門被標識為PAS Webshell，版本號3.1.4。在同一服務器上，ANSSI發現了另一個與ESET描述的后門相同的后門，名為Exaramel。”

據說俄羅斯黑客組織（也稱為APT28, TeleBots, Voodoo Bear, 或Iron Viking）在過去幾年中遭受了一些最具破壞性的網絡攻擊，其中包括2016年烏克蘭的電網攻擊，2017年的NotPetya勒索軟件爆發以及2018年平昌冬季奧運會。

盡管最初的攻擊媒介似乎尚不清楚，但受害網絡的危害卻與Centreon（一種由一家法國公司同名開發的應用程序和網絡監控軟件）聯系在一起。

Centreon，成立于2005年，其客戶包括Airbus, Air Cara?bes, ArcelorMittal, BT, Luxottica, Kuehne + Nagel, Ministère de la Justice fran?ais, New Zealand Police, PWC Russia, Salomon, Sanofi, 和 Sephora。目前尚不清楚有多少或哪些組織通過該軟件黑客被入侵。

ANSSI表示，受損的服務器運行CENTOS操作系統（版本2.5.2），并在兩種不同的惡意軟件中發現了這種惡意軟件-一種名為PAS的公開Webshell，另一種名為Exaramel，Sandworm曾在先前的攻擊中使用過這種Webshell。自2018年以來。

該Web Shell具備處理文件操作，搜索文件系統，與SQL數據庫進行交互，對SSH，FTP，POP3和MySQL進行暴力破解密碼攻擊，創建反向Shell以及運行任意PHP命令的功能。

另一方面，Exaramel用作遠程管理工具，能夠執行Shell命令并在攻擊者控制的服務器與受感染的系統之間來回復制文件。它還使用HTTPS與其命令和控制（C2）服務器進行通信，以便檢索要運行的命令列表。

此外，ANSSI的調查顯示，為了連接到Web Shell，使用了常見的VPN服務，在C2基礎結構中存在重疊，從而將操作連接到Sandworm。

研究人員詳細指出：“眾所周知，入侵設備Sandworm會領導隨后的入侵活動，然后重點關注適合其在受害者群體中的戰略利益的特定目標。” “ ANSSI觀察到的競選活動符合這種行為。”

鑒于SolarWinds供應鏈的攻擊，不足為奇的是，諸如Centreon之類的監視系統已成為不良行為者立足并在受害環境中橫向移動的有利可圖的目標。但是，與前者的供應鏈妥協不同，新近披露的攻擊有所不同，它們似乎是通過利用受害者中心網絡中運行Centreon軟件的面向互聯網的服務器來實施的。

ANSSI警告說：“因此，建議在漏洞公開并發布糾正補丁后立即更新應用程序。” “建議不要將這些工具的Web界面公開到[Internet]或使用非應用身份驗證來限制這種訪問。”

2020年10月，美國政府正式指控六名俄羅斯軍官參與由該組織精心策劃的破壞性惡意軟件攻擊，并將Sandworm威脅組織與俄羅斯主要情報局（GRU）的74455部門聯系起來，后者是該組織的軍事情報機構的一部分。俄羅斯軍隊。