據(jù)研究人員稱，伊朗的一個(gè)黑客組織正在使用消息平臺(tái)Slack上的免費(fèi)工作空間，在亞洲某航空公司的系統(tǒng)中部署了后門。

[[440998]]

根據(jù)IBM Security X-Force 的一份報(bào)告，被稱為Aclip的后門可能使攻擊者能夠訪問(wèn)航空公司的乘客預(yù)訂數(shù)據(jù)。Aclip名稱來(lái)自名為“aclip.bat”的 Windows 批處理腳本，能通過(guò)添加一個(gè)注冊(cè)表密鑰建立持久性，并在受感染設(shè)備的系統(tǒng)啟動(dòng)時(shí)自動(dòng)啟動(dòng)。

報(bào)告稱，目前還不清楚攻擊者是否已從系統(tǒng)中竊取了數(shù)據(jù)，，盡管在攻擊者的命令和控制 (C2) 服務(wù)器上發(fā)現(xiàn)的文件表明他們可能已經(jīng)訪問(wèn)了預(yù)訂數(shù)據(jù)。分析認(rèn)為，他們的重點(diǎn)是監(jiān)視，因?yàn)樵谄?C2 服務(wù)器上只能找到名稱中帶有“保留管理”的文件。它沒有透露泄露的存檔文件的內(nèi)容。

網(wǎng)絡(luò)安全公司 Cyber​​eason 的 CSO Sam Curry 在推測(cè)攻擊者的動(dòng)機(jī)時(shí)認(rèn)為，酒店和飛行數(shù)據(jù)可用于流量分析、網(wǎng)絡(luò)推斷等行為和目的分析，比如，如果兩位 CEO 飛到一個(gè)城市，住在酒店，然后馬上離開，他們很有可能彼此認(rèn)識(shí)，可能正在考慮做一些不公開的事情，這是可用于內(nèi)幕交易的信息。作為尋求戰(zhàn)略性使用數(shù)據(jù)的一部分，航空公司信息很有價(jià)值。

雖然Slack沒有對(duì)這起事件做出回應(yīng)，但公司表示已經(jīng)開始進(jìn)行調(diào)查，并以違反服務(wù)條款為由關(guān)閉了Slack Workspaces。

由于涉及的流量大，基于協(xié)作工具防御威脅很困難，研究人員表示，針對(duì)此類后門建立防御機(jī)制會(huì)面臨較大挑戰(zhàn)，但仍建議加強(qiáng)PowerShell 安全性，因?yàn)樵撃_本有時(shí)能讓攻擊變得具有侵入性，這些措施包括：

• 將 PowerShell 更新到最新的穩(wěn)定版本并禁用早期版本;
• 通過(guò)限制能夠運(yùn)行某些命令和功能的用戶來(lái)控制對(duì) PowerShell 的訪問(wèn);
• 監(jiān)控PowerShell日志，包括模塊日志記錄;
• 通過(guò)禁用或限制 Windows 遠(yuǎn)程管理服務(wù)來(lái)防止使用 PowerShell 進(jìn)行遠(yuǎn)程執(zhí)行;
• 創(chuàng)建并使用 YARA 規(guī)則來(lái)檢測(cè)惡意 PowerShell 腳本。

參考來(lái)源：

https://www.inforisktoday.com/iranian-threat-actor-uses-slack-api-to-target-asian-airline-a-18139