据科研工作人员称,沙特的一个黑客组织已经应用信息服务平台Slack上的完全免费工作中室内空间,在亚洲地区某航空公司的体系中布署了后门。
依据IBM Security X-Force 的一份汇报,被称作Aclip的后门很有可能使攻击者可以浏览航空公司的乘客订购数据信息。Aclip名字来源于名为“aclip.bat”的 Windows 批处理命令脚本制作,能根据加上一个注册表文件密钥建立持续性,并在受感柒机器设备的开机启动时自动启动。
汇报称,现阶段还不清楚攻击者是不是已从系统中盗取了数据信息,,虽然在攻击者的指令和操纵 (C2) 网络服务器上发觉的资料说明她们很有可能早已浏览了订购数据信息。剖析觉得,她们的要点是监控,由于在其 C2 网络服务器上只有寻找名字中含有“保存管理方法”的文档。它沒有表露泄漏的存档文件的內容。
网络信息安全企业 Cybereason 的 CSO Sam Curry 在推断攻击者的动因时觉得,酒店餐厅和飞行数据可用以流量统计、互联网推论等个人行为和目地剖析,例如,假如二位 CEO 飞到一个大城市,住在酒店餐厅,随后立刻离去,她们极有可能彼此之间了解,很有可能正考虑到做一些不公开化的事儿,这也是可用以内线交易的信息内容。做为寻找战略应用数据信息的一部分,航空公司信息内容很有使用价值。
尽管Slack沒有对这起事情澄清事实,但企业表明早已逐渐开始开展调研,并以违背服务条款为由关掉了Slack Workspaces。
因为涉及到的数据流量大,根据合作专用工具防御力危害很艰难,科学研究工作员表明,对于该类后门创建自我防御机制会遭遇比较大挑戰,但仍提议加强PowerShell 安全系数,由于该脚本制作有时候能让进攻越来越具备入侵性,这种对策包含:
- 将 PowerShell 升级到近期的平稳版本号并禁止使用初期版本号;
- 根据限定可以运作一些指令和功用的客户来操纵对 PowerShell 的浏览;
- 监管PowerShell日志,包含控制模块日志纪录;
- 根据禁止使用或限定 Windows 远程管理服务项目来避免应用 PowerShell 开展远程控制实行;
- 建立并应用 YARA 标准来检验故意 PowerShell 脚本制作。
参照来源于:
https://www.inforisktoday.com/iranian-threat-actor-uses-slack-api-to-target-asian-airline-a-18139