黑客組織利用Slack API攻擊航空公司
近日,根據 IBM Security X-Force 的一份報告,一個非常活躍的全球性黑客組織(很可能是 ITG17,又名“MuddyWater”)正在部署一個名為“Aclip”的后門,實施攻擊活動。其攻擊活動始于 2019 年,目標是一家亞洲航空公司,以竊取航班預訂數據。
據了解,Aclip是一個新近發現的后門,通過名為“aclip.bat”的 Windows 批處理腳本執行,因此得名。該后門通過添加注冊表項在受感染設備上建立持久性,并在系統啟動時自動開啟。Aclip濫用 Slack API 進行秘密通信:通過 Slack API 函數從 C2 服務器接收 PowerShell 命令,用于執行進一步的命令、發送 Windows 桌面的屏幕截圖以及泄露文件。
Slack 是隱藏惡意通信的理想平臺,因為其在企業中廣泛部署,數據可以很好地與常規業務流量融合。不過,這種類型的濫用是其他攻擊者過去遵循的策略,因此并不是一個新技巧。此外,Slack 并不是唯一被濫用以秘密中繼數據和命令的合法消息傳遞平臺。
威脅行為者第一次執行Aclip后門程序時,會收集基本系統信息,包括主機名、用戶名和外部 IP 地址,此數據使用 Base64 加密并泄露給威脅參與者。然后,從命令執行查詢階段開始,Aclip 連接到 actor 控制的 Slack 工作區不同通道。最后使用 PowerShell 圖形庫截取屏幕,并保存至 %TEMP% 直到數據滲漏,圖像上傳到 C2 后,它們將被擦除。
IBM 研究人員在 2021 年 3 月發現了濫用此通信渠道的威脅行為者,并負責任地將其披露給了 Slack。IBM 在調查發現兩個已知歸因于黑客組織的自定義惡意軟件樣本后,將此次攻擊與 MuddyWaters/ITG17 聯系起來。
