与俄罗斯有联系、受国家支持的攻击组织Sandworm与使用名为Centreon攻击目标的IT监控工具进行的为期三年的秘密行动有关。法国信息安全机构ANSSI在一份咨询报告中表示,根据研究,该活动袭击了“几家法国公司”,并且该活动于2017年底开始并持续到2020年,对网络托管服务提供商的影响尤其大。商业。“在受到攻击的系统上,ANSSI在几个暴露在互联网上的Centreon服务器上发现了一个webshel??l形式的后门,”法国信息安全机构周一表示。后门被识别为PASWebshel??l,版本3.1.4。在同一台服务器上,ANSSI发现了另一个与ESET描述的相同的后门,称为Exaramel。Exaramel后门“是后门组件的改进版本”,它是Industroyer的一部分,Industroyer是一种针对工业控制系统(ICS)的恶意软件,导致2016年12月乌克兰停电。俄罗斯黑客组织(也称为APT28,TeleBots、VoodooBear或IronViking)据说是过去几年中一些最激进的网络攻击的目标,包括2016年乌克兰电网攻击和2017年NotPetya勒索软件爆发以及2018年平昌冬奥会。虽然攻击的最初目标似乎尚不清楚,但对受害者网络的入侵与Centreon有关,Centreon是一家法国同名公司开发的应用程序和网络监控软件。Centreon成立于2005年,其客户包括空中客车、AirCara?bes、ArcelorMittal、BT、Luxottica、Kuehne+Nagel、MinistèredelaJusticefran?ais、新西兰警察、普华永道俄罗斯、所罗门、赛诺菲和丝芙兰。目前尚不清楚有多少或哪些组织通过该软件遭到黑客攻击。ANSSI表示,被攻击的服务器运行的是CENTOS操作系统(2.5版。Sandworm在过去几年的攻击中使用过这个webshel??l。该webshell可以处理文件操作、搜索文件系统、与SQL数据库交互、执行暴力破解对SSH、FTP、POP3和MySQL的密码攻击,创建反向shell,并运行任意PHP命令。另一方面,Exaramel用作远程管理工具,能够执行shell命令并在攻击者之间来回复制文件-控制的服务器和受感染的系统。它还使用HTTPS与其命令和控制(C2)服务器通信,以检索要运行的命令列表。此外,ANSSI的调查显示,为了连接到webshell,常见使用了虚拟网络服务,并且在C2基础设施中存在重叠以将操作连接到Sandworm。“众所周知,攻击设备Sandworm会引发后续活动,然后f专注于符合其在受害者群体中的战略利益的特定目标,ANSSI观察到的活动与这种行为一致,”研究人员说。鉴于SolarWinds供应链攻击的性质,研究人员认为Centreon等监控系统已成为不良行为者发起攻击并在受害者环境中横向移动的有利手段。但与之前的供应链攻击不同,新披露的攻击似乎是通过利用受害者中心网络中运行Centreon软件的面向互联网的服务器来实施的。ANSSI警告说:“因此建议在漏洞公开并发布修正补丁后立即更新应用程序。不建议将这些工具的Web界面暴露在互联网上或使用非应用程序身份验证来限制这个访问权限。”本文翻译自:https://thehackernews.com/2021/02/hackers-exploit-it-monitoring-tool.html如有转载请注明原文地址。
