Presunti hacker iraniani prendono di mira una compagnia aerea con una nuova backdoor

  • Sep 27, 2023

L'attacco è stato eseguito abusando dell'applicazione Slack Workspace.

Un presunto gruppo di minaccia iraniano sponsorizzato dallo stato ha attaccato una compagnia aerea con una backdoor mai vista prima.

Sicurezza

  • 8 abitudini dei lavoratori remoti altamente sicuri
  • Come trovare e rimuovere spyware dal telefono
  • I migliori servizi VPN: come si confrontano i primi 5?
  • Come scoprire se sei coinvolto in una violazione dei dati e cosa fare dopo

Mercoledì, i ricercatori di sicurezza informatica di IBM Security X-Force hanno affermato che una compagnia aerea asiatica era la oggetto dell'attacco, che probabilmente è iniziato nell'ottobre 2019 fino al 2021.

Il gruppo Advanced Persistent Threat (APT) ITG17, noto anche come MuddyWater, ha sfruttato un canale di spazio di lavoro gratuito su Slack per ospitare contenuti dannosi e offuscare le comunicazioni effettuate tra comandi e controlli dannosi (C2) server.

"Non è chiaro se l'aggressore sia riuscito a esfiltrare con successo i dati dall'ambiente della vittima, tramite file trovati sul server C2 dell'autore della minaccia suggeriscono la possibilità che questi possa aver avuto accesso ai dati di prenotazione," IBM dice.

L'API (Application Program Interface) di messaggistica Slack è stata utilizzata in modo improprio da una nuova backdoor distribuita dall'APT denominata "Aclope". Aclip è in grado di farlo sfruttare l'API sia per inviare dati che per ricevere comandi, con dati di sistema, screenshot e file inviati a uno Slack controllato dagli aggressori canale.

Nel complesso, la backdoor ha utilizzato tre canali separati per esfiltrare silenziosamente le informazioni. Una volta installata ed eseguita, la backdoor raccoglieva dati di sistema di base inclusi nomi host, nomi utente e indirizzi IP che venivano poi inviati al primo canale Slack dopo la crittografia.

Il secondo canale è stato utilizzato per verificare i comandi da eseguire e i risultati di questi comandi, come i caricamenti di file, sono stati quindi inviati al terzo spazio di lavoro Slack.

Pur essendo una nuova backdoor, Aclip non è l'unico malware noto per abusare di Slack, il che dovrebbe essere degno di nota ai team aziendali poiché lo strumento è prezioso per coloro che ora lavorano spesso da casa o in modalità ibrida configurazioni. Con sede a Golang C2bot lento sfrutta anche l'API Slack per facilitare le comunicazioni C2 e SLUB porta sul retro utilizza token autorizzati per comunicare con la sua infrastruttura C2.

In una dichiarazione, Slack ha affermato: "Abbiamo indagato e immediatamente chiuso gli Slack Workspaces segnalati come violazione dei nostri termini di servizio".

"Abbiamo confermato che Slack non è stato compromesso in alcun modo nell'ambito di questo incidente e che nessun dato dei clienti Slack è stato esposto o a rischio. Ci impegniamo a prevenire l'uso improprio della nostra piattaforma e adottiamo misure contro chiunque violi i nostri termini di servizio."

Copertura precedente e correlata

  • Le compagnie aeree avvertono i passeggeri della violazione dei dati dopo che un fornitore di tecnologia aeronautica è stato colpito da un attacco informatico
  • American Airlines ha appena fatto un’ammissione sorprendente riguardo al futuro
  • Cosa dicono le compagnie aeree sul ritorno dei viaggi d'affari

Hai un consiglio? Mettiti in contatto in modo sicuro tramite WhatsApp | Segnala al +447713 025 499, o tramite Keybase: charlie0