ΑρχικήsecurityΧάκερ χρησιμοποιούν το Slack API για να κλέψουν "airline data"

Χάκερ χρησιμοποιούν το Slack API για να κλέψουν “airline data”

Ένας ύποπτος απειλητικός παράγοντας που υποστηρίζεται από το ιρανικό κράτος αναπτύσσει ένα νέο backdoor το οποίο ονομάζεται «Aclip» και κάνει κατάχρηση του Slack API για μυστικές επικοινωνίες.

Η δραστηριότητα του απειλητικού παράγοντα ξεκίνησε το 2019 και στόχευε μια ασιατική αεροπορική εταιρεία που δεν κατονομαζόταν για να κλέψει δεδομένα κρατήσεων πτήσεων.

Σύμφωνα με μια έκθεση της IBM Security X-Force, ο απειλητικός παράγοντας είναι πιθανότατα η ομάδα ITG17, γνωστή και ως «MuddyWater», μια πολύ ενεργή ομάδα hacking που στοχεύει οργανισμούς σε όλο τον κόσμο.

Δείτε επίσης: Χάκερ κλέβουν credentials Microsoft Exchange χρησιμοποιώντας IIS module

Slack API χάκερ data

Κατάχρηση του Slack

Το Slack είναι μια ιδανική πλατφόρμα για την απόκρυψη κακόβουλων επικοινωνιών, καθώς τα δεδομένα μπορούν να συνδυαστούν καλά με την κανονική επιχειρηματική κίνηση λόγω της ευρείας ανάπτυξής του στην επιχείρηση.

Αυτού του είδους η κατάχρηση είναι μια τακτική που στο παρελθόν έχουν ακολουθήσει και άλλοι χάκερ, επομένως δεν είναι ένα νέο κόλπο. Επίσης, το Slack δεν είναι η μόνη νόμιμη πλατφόρμα ανταλλαγής μηνυμάτων την οποία καταχρώνται για κρυφή μετάδοση δεδομένων και εντολών.

Σε αυτήν την περίπτωση, το Slack API χρησιμοποιείται από το backdoor Aclip για την αποστολή πληροφοριών συστήματος, αρχείων και screenshot στο C2, ενώ σε αντάλλαγμα λαμβάνει εντολές.

Οι ερευνητές της IBM εντόπισαν τους απειλητικούς παράγοντες που έκαναν κατάχρηση αυτού του καναλιού επικοινωνίας τον Μάρτιο του 2021 και ενημέρωσαν το Slack.

Δείτε επίσης: Χάκερ μολύνουν τυχαία WordPress plugins για να κλέψουν πιστωτικές κάρτες

Το Slack εξέδωσε την ακόλουθη δημόσια δήλωση ως απάντηση:

“Όπως περιγράφεται σε αυτήν την ανάρτηση, η IBM X-Force ανακάλυψε και παρακολουθεί ενεργά ένα τρίτο μέρος που προσπαθεί να χρησιμοποιήσει στοχευμένο malware αξιοποιώντας free workspaces στο Slack. Ως μέρος της έρευνας X-Force, ενημερωθήκαμε ότι υπάρχουν free workspaces που χρησιμοποιούνται με αυτόν τον τρόπο.

Ερευνήσαμε και “κλείσαμε” αμέσως τα αναφερόμενα Slack Workspace ως παραβίαση των όρων παροχής υπηρεσιών μας. Επιβεβαιώσαμε ότι το Slack δεν παραβιάστηκε με οποιονδήποτε τρόπο ως μέρος αυτού του συμβάντος και ότι κανένα στοιχείο πελατών του Slack δεν εκτέθηκε ή κινδύνευε. Δεσμευόμαστε να αποτρέψουμε την κακή χρήση της πλατφόρμας μας και αναλαμβάνουμε δράση κατά οποιουδήποτε παραβιάζει τους όρους παροχής υπηρεσιών μας.

Το Slack ενθαρρύνει τους ανθρώπους να είναι σε εγρήγορση και να χρησιμοποιούν βασικά μέτρα ασφαλείας, συμπεριλαμβανομένης της χρήσης ελέγχου ταυτοποίησης δύο παραγόντων, διασφαλίζοντας ότι το computer software και το anti-virus software είναι ενημερωμένα, δημιουργώντας νέους και μοναδικούς κωδικούς πρόσβασης για κάθε υπηρεσία που χρησιμοποιούν, και να είναι προσεκτικοί όταν αλληλεπιδρούν με άτομα που δεν γνωρίζουν.” – Slack.

χάκερ data

Το backdoor Aclip

Το Aclip είναι ένα backdoor που παρατηρήθηκε πρόσφατα που εκτελείται μέσω μιας δέσμης ενεργειών των Windows με το όνομα ‘aclip.bat’, εξ ου και το όνομα.

Το backdoor εδραιώνει το persistence σε μια μολυσμένη συσκευή προσθέτοντας ένα registry key και εκκινείται αυτόματα κατά την εκκίνηση του συστήματος.

Το Aclip λαμβάνει commands PowerShell από τον server C2 μέσω λειτουργιών Slack API και μπορεί να χρησιμοποιηθεί για την εκτέλεση περαιτέρω εντολών, την αποστολή screenshots του ενεργού desktop Windows και την εξαγωγή αρχείων.

χάκερ

Κατά την πρώτη εκτέλεση, το backdoor συλλέγει βασικές πληροφορίες συστήματος, συμπεριλαμβανομένου του hostname, του ονόματος χρήστη και της εξωτερικής διεύθυνσης IP. Αυτά τα δεδομένα κρυπτογραφούνται με το Base64 και διοχετεύονται στον απειλητικό παράγοντα.

Από εκεί και πέρα, ξεκινά η φάση του command execution query, με το Aclip να συνδέεται σε διαφορετικό κανάλι στο ελεγχόμενο από χάκερ Slack workspace.

Δείτε επίσης: Χάκερ στέλνουν SMS παριστάνοντας ότι έρχονται από την ιρανική κυβέρνηση

Τα screenshots λαμβάνονται χρησιμοποιώντας τη βιβλιοθήκη γραφικών του PowerShell και αποθηκεύονται στο %TEMP% μέχρι την εξαγωγή. Αφού μεταφορτωθούν οι εικόνες στο C2, σβήνονται.

Η IBM συνέδεσε την επίθεση με την ομάδα MuddyWaters/ITG17 αφού η έρευνά της βρήκε δύο δείγματα προσαρμοσμένου malware που είναι γνωστό ότι αποδίδονται σε αυτή την ομάδα hacking.

Πηγή πληροφοριών: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS