据研究人员称,一个伊朗黑客组织正在使用消息平台Slack上的免费工作区在一家亚洲航空公司的系统中部署后门。根据IBMSecurityX-Force的一份报告,名为Aclip的后门可以让攻击者访问航空公司乘客预订数据。Aclip名称来自一个名为“aclip.bat”的Windows批处理脚本,它通过添加注册表项建立持久性,并在受感染设备的系统启动时自动启动。报告称,目前尚不清楚攻击者是否从系统中窃取了数据,但在攻击者的命令和控制(C2)服务器上发现的文件表明他们可能已经访问了预订数据。分析人士认为,他们的重点是监视,因为在他们的C2服务器上只能找到名称中带有“保留管理”的文件。它没有透露泄露档案的内容。网络安全公司Cyber??eason的CSOSamCurry推测了攻击者的动机。他认为酒店和航班数据可以用于行为和目的分析,例如流量分析和网络推理。例如,如果两个CEO飞到一个城市并住在酒店,然后立即离开,那么他们很有可能认识对方,并且可能正在考虑做一些不公开的事情,这是可以用于内部信息的信息贸易。作为寻求战略性地使用数据的一部分,航空公司信息很有价值。虽然Slack没有对事件做出回应,但该公司表示已展开调查并关闭了违反其服务条款的SlackWorkspaces。由于涉及的流量很大,因此很难防御基于协作工具的威胁,研究人员表示针对此类后门建立防御可能具有挑战性,但仍建议加强PowerShell安全性,因为脚本有时会使攻击具有侵入性这些措施包括:更新PowerShell到最新的稳定版本并禁用早期版本;通过限制谁可以运行某些命令和功能来控制对PowerShell的访问;监控PowerShell日志,包括模块日志记录;Windows远程管理服务,以防止使用PowerShell进行远程执行;创建并使用YARA规则来检测恶意PowerShell脚本。参考来源:https://www.inforisktoday.com/iranian-threat-actor-uses-slack-api-to-target-asian-airline-a-18139
