İran devlet destekli şüpheli bir tehdit aktörü, gizli iletişim için Slack API’yi kötüye kullanan ‘Aclip’ adlı yeni keşfedilen bir arka kapı kullanıyor.
Tehdit aktörünün faaliyeti 2019’da başladı ve isimsiz bir Asya havayolunu uçuş rezervasyon verilerini çalmak için hedef aldı.
IBM Security X-Force tarafından hazırlanan bir rapora göre, tehdit aktörü muhtemelen ‘MuddyWater’ olarak bilinen ITG17’dir. çok aktif hack grubu dünya çapında bir hedef organizasyonlar sürdüren.
Slack’i Kötüye Kullanmak
Slack, kuruluştaki yaygın dağıtımı nedeniyle veriler normal iş trafiğiyle iyi uyum sağlayabildiğinden, kötü amaçlı iletişimleri gizlemek için ideal bir platformdur.
Bu tür bir istismar bir taktiktir. diğer aktörler takip etti geçmişte, yani bu yeni bir numara değil. Ayrıca, Slack tek değil mi Verileri ve komutları gizlice aktarmak için kötüye kullanılacak meşru mesajlaşma platformu.
Bu durumda, Slack API, Aclip arka kapısı tarafından sistem bilgilerini, dosyaları ve ekran görüntülerini C2’ye göndermek ve karşılığında komutları almak için kullanılır.
IBM araştırmacıları, Mart 2021’de bu iletişim kanalını kötüye kullanan tehdit aktörlerini tespit etti ve sorumlu bir şekilde Slack’e açıkladı.
Slack, yanıt olarak şu açıklamayı yaptı:
“Bu gönderide ayrıntılı olarak açıklandığı üzere, IBM X-Force, Slack’teki ücretsiz çalışma alanlarından yararlanan hedefli kötü amaçlı yazılımları kullanmaya çalışan bir üçüncü tarafı keşfetti ve aktif olarak izliyor. X-Force araştırmasının bir parçası olarak, ücretsiz çalışma alanlarının mevcut olduğundan haberdar olduk. bu şekilde kullanılır.
Hizmet şartlarımızı ihlal ettiği için rapor edilen Slack Çalışma Alanlarını araştırdık ve derhal kapattık. Bu olayın bir parçası olarak Slack’in hiçbir şekilde güvenliğinin ihlal edilmediğini ve hiçbir Slack müşteri verisinin açığa çıkmadığını veya risk altında olmadığını doğruladık. Platformumuzun kötüye kullanılmasını önlemeye kararlıyız ve hizmet şartlarımızı ihlal eden herkese karşı önlem alıyoruz.
Slack, insanları uyanık olmaya ve iki faktörlü kimlik doğrulamanın kullanılması, bilgisayar yazılımlarının ve virüsten koruma yazılımlarının güncel olmasını sağlamak, kullandıkları her hizmet için yeni ve benzersiz parolalar oluşturmak dahil olmak üzere temel güvenlik önlemlerini gözden geçirmeye ve uygulamaya teşvik eder, ve tanımadıkları insanlarla etkileşim kurarken dikkatli olmak.” – Gevşek.
Aclip arka kapısı
Aclip, ‘aclip.bat’ adlı bir Windows toplu komut dosyası aracılığıyla yürütülen yeni gözlemlenen bir arka kapıdır, dolayısıyla adı.
Arka kapı, bir kayıt defteri anahtarı ekleyerek virüslü bir cihazda kalıcılık sağlar ve sistem başlatıldığında otomatik olarak başlar.
Aclip, Slack API işlevleri aracılığıyla C2 sunucusundan PowerShell komutlarını alır ve daha fazla komut yürütmek, etkin Windows masaüstünün ekran görüntülerini göndermek ve dosyaları sızdırmak için kullanılabilir.
İlk çalıştırmada arka kapı, ana bilgisayar adı, kullanıcı adı ve harici IP adresi dahil olmak üzere temel sistem bilgilerini toplar. Bu veriler Base64 ile şifrelenir ve tehdit aktörüne aktarılır.
O andan itibaren, Aclip’in aktör kontrollü Slack çalışma alanında farklı bir kanala bağlanmasıyla komut yürütme sorgu aşaması başlar.
Ekran görüntüleri PowerShell’in grafik kitaplığı kullanılarak alınır ve sızmaya kadar %TEMP% dosyasına kaydedilir. Görüntüler C2’ye yüklendikten sonra silinir.
IBM, araştırmalarının bilgisayar korsanlığı grubuna atfedildiği bilinen iki özel kötü amaçlı yazılım örneği bulmasının ardından saldırıyı MuddyWaters/ITG17 ile ilişkilendirdi.
“Soruşturma, daha önce ITG17’ye atfedilen kötü amaçlı yazılıma, bir arka kapı ‘Win32Drv.exe’ye ve ‘OutlookTR.aspx’ web kabuğuna karşılık gelen iki özel araç ortaya çıkardı,” diye açıklıyor. IBM’in raporu.
“Win32Drv.exe yapılandırması içinde, 46.166.176 C2 IP adresidir.[.]ile ilişkili bir C2 alanını barındırmak için daha önce kullanılmış olan 210, Forelord DNS tünelleme kötü amaçlı yazılımı kamuya atfedilen Çamurlu su“
nasıl savunulur
Slack gibi uzaktan işbirliği araçlarıyla çok iyi uyum sağlayan trafiği tespit etmek, özellikle oyuncular için daha fazla saklanma fırsatı yaratan bir uzaktan çalışma patlaması sırasında zor olabilir.
IBM, bunun yerine PowerShell güvenlik duruşunuzu güçlendirmeye odaklanmanızı önerir ve aşağıdaki önlemleri önerir:
- PowerShell günlüklerini ve modül günlüğü kayıtlarını sık sık kontrol edin
- PowerShell erişimini her kullanıcı için yalnızca belirli komutlara ve işlevlere sınırlayın
- Windows Uzaktan Yönetim Hizmetini devre dışı bırakın veya kısıtlayın
- Kötü amaçlı PowerShell komut dosyalarını algılamak için YARA kuralları oluşturun ve kullanın
Ancak IBM, kuruluş bu çözümleri giderek daha fazla benimsemeye başladıkça mesajlaşma uygulamalarının kötüye kullanımının gelişmeye devam edeceği konusunda uyarıyor.
“Uzaktan bir işgücünün kalıcı veya geniş çapta benimsenmesine geçiş yapan ve mesajlaşma uygulamalarını bir grup üretim ve sohbet biçimi olarak uygulamaya devam eden bir işletme dalgasıyla birlikte, X-Force, bu uygulamaların kötü niyetli aktörler tarafından kontrol etmek ve kontrol etmek için kullanılmaya devam edeceğini değerlendiriyor. kötü amaçlı yazılımları algılanmadan dağıtın,” diye bitirdi IBM.