Подозреваемая, спонсируемая государством иранская группа угроз напала на авиакомпанию с невиданным ранее лазом.
В среду исследователи кибербезопасности из IBM Security X-Force заявили, что азиатская авиакомпания была предмет нападения, который, вероятно, начался в октябре 2019 года по 2021 год.
Группа расширенных постоянных угроз (APT) ITG17, также известная как MuddyWater, использовала свободный канал рабочего пространства в Slack для укрытия вредоносного контента и сокрытия обмена данными между вредоносными серверами управления и контроля (C2).
«Неясно, смог ли злоумышленник успешно эксфильтровать данные из среды жертвы, хотя файлы, обнаруженные на сервере C2 злоумышленника, предполагают возможность того, что он мог получить доступ к данным резервирования», — говорит IBM.
Прикладным программным интерфейсом (API) обмена сообщениями Slack злоупотреблял новый бэкдор под названием Aclop, развернутый APT. Aclip может использовать API как для отправки данных, так и для получения команд — с системными данными, снимками экрана и файлами, отправляемыми в канал Slack, контролируемый злоумышленником.
В целом, бэкдор использовал три отдельных канала для незаметной эксфильтрации информации. После установки и запуска бэкдор собирал основные системные данные, включая имена хостов, имена пользователей и IP-адреса, которые затем отправлялись на первый канал Slack после шифрования.
Второй канал использовался для проверки команд для выполнения, а результаты этих команд, такие как загрузка файлов, затем отправлялись в третью рабочую область Slack.
Aclip — это новый бэкдор, но это не единственное вредоносное ПО, которое, как известно, злоупотребляет Slack, что следует обратить на это внимание корпоративным командам, поскольку инструмент полезен для тех, кто сейчас часто работает из дома или в гибридных установках. На Голанге Slack C2bot также использует Slack API для облегчения взаимодействия C2, а SLUB бэкдор использует авторизованные токены для связи со своей инфраструктурой C2.
В заявлении Slack говорится: «Мы расследовали и немедленно закрыли рабочие области Slack, о которых сообщалось, как нарушение наших условий обслуживания».
«Мы подтвердили, что Slack никоим образом не был скомпрометирован в рамках этого инцидента, и никакие данные клиентов Slack не были раскрыты или подвержены риску. Мы стремимся предотвратить неправомерное использование нашей платформы и принимаем меры против всех, кто нарушает наши условия обслуживания. . »