與俄羅斯有關(guān)聯(lián)的、由國家支持的攻擊組織Sandworm與一項長達三年的秘密行動有關(guān)，該行動利用名為Centreon的IT監(jiān)控工具攻擊目標。

法國信息安全機構(gòu)ANSSI在一份咨詢報告中表示，根據(jù)研究，此次的攻擊活動已經(jīng)攻擊了“幾個法國公司”，該活動始于2017年底，持續(xù)到2020年，攻擊特別影響了Web托管提供商。

法國信息安全機構(gòu)周一說：

• “在受到攻擊的系統(tǒng)上，ANSSI發(fā)現(xiàn)以webshell形式出現(xiàn)的后門存在于暴露于互聯(lián)網(wǎng)的幾臺Centreon服務(wù)器上。”

此后門被標識為PAS Webshell，版本號3.1.4。在同一服務(wù)器上，ANSSI發(fā)現(xiàn)了另一個與ESET描述的后門相同的后門，名為Exaramel。 Exaramel 后門“是后門組件的改進版本”，是針對工業(yè)控制系統(tǒng)(ICS)的惡意軟件 Industroyer 的一部分，Industroyer 曾在2016年12月引發(fā)烏克蘭停電。

據(jù)說俄羅斯黑客組織(也稱為APT28，TeleBots，Voodoo Bear或Iron Viking)在過去幾年中遭受了一些最具攻擊性的網(wǎng)絡(luò)攻擊，其中包括2016年烏克蘭的電網(wǎng)攻擊，2017年的NotPetya勒索軟件爆發(fā)以及2018年平昌冬季奧運會。

雖然最初的攻擊對象似乎還不清楚，但受害者網(wǎng)絡(luò)的入侵與Centreon有關(guān)，Centreon是由一家同名的法國公司開發(fā)的一款應(yīng)用程序和網(wǎng)絡(luò)監(jiān)控軟件。

Centreon成立于2005年，其客戶包括Airbus, Air Caraïbes, ArcelorMittal, BT, Luxottica, Kuehne + Nagel, Ministère de la Justice français, New Zealand Police, PWC Russia, Salomon, Sanofi和 Sephora，目前尚不清楚有多少或哪些組織通過該軟件黑客被攻擊。

ANSSI表示，受攻擊的服務(wù)器運行CENTOS操作系統(tǒng)(版本2.5.2)，并在兩種不同的惡意軟件中發(fā)現(xiàn)了這種惡意軟件，一個名為PAS的公開Webshell，另一個名為Exaramel，自2018年以來，Sandworm在先前的攻擊中曾使用過該Webshell。

web shell配備了處理文件操作、搜索文件系統(tǒng)、與SQL數(shù)據(jù)庫交互、對SSH、FTP、POP3和MySQL執(zhí)行暴力密碼攻擊、創(chuàng)建反向shell和運行任意PHP命令的功能。

另一方面，Exaramel用作遠程管理工具，能夠執(zhí)行Shell命令并在攻擊者控制的服務(wù)器與受感染的系統(tǒng)之間來回復(fù)制文件。它還使用HTTPS與其命令和控制(C2)服務(wù)器進行通信，以便檢索要運行的命令列表。

此外，ANSSI的調(diào)查顯示，為了連接到Web Shell，使用了常見的虛擬網(wǎng)絡(luò)服務(wù)，在C2基礎(chǔ)結(jié)構(gòu)中存在重疊，從而將操作連接到Sandworm。

研究人員表示：

• “眾所周知，攻擊設(shè)備Sandworm會引起隨后的攻擊活動，然后重點關(guān)注適合其在受害者群體中的戰(zhàn)略利益的特定目標，ANSSI觀察到的活動符合這種行為。”

鑒于SolarWinds供應(yīng)鏈的攻擊，研究人員認為諸如Centreon之類的監(jiān)視系統(tǒng)已成為不良行為者發(fā)起攻擊并在受害環(huán)境中橫向移動的有利可圖的手段。但是，與前者的供應(yīng)鏈攻擊不同，新近披露的攻擊有所不同，它們似乎是通過利用受害者中心網(wǎng)絡(luò)中運行Centreon軟件的面向互聯(lián)網(wǎng)的服務(wù)器來實施的。

ANSSI警告說：

• “因此，建議在漏洞公開并發(fā)布糾正補丁后立即更新應(yīng)用程序。建議不要將這些工具的Web界面公開到互聯(lián)網(wǎng)上或使用非應(yīng)用身份驗證來限制這種訪問。”

本文翻譯自：https://thehackernews.com/2021/02/hackers-exploit-it-monitoring-tool.html如若轉(zhuǎn)載，請注明原文地址。