近日,根据 IBM Security X-Force 的一份报告,一个非常活跃的全球性黑客组织(很可能是 ITG17,又名“MuddyWater”)正在部署一个名为“Aclip”的后门,实施攻击活动。其攻击活动始于 2019 年,目标是一家亚洲航空公司,以窃取航班预订数据。
据了解,Aclip是一个新近发现的后门,通过名为“aclip.bat”的 Windows 批处理脚本执行,因此得名。该后门通过添加注册表项在受感染设备上建立持久性,并在系统启动时自动开启。Aclip滥用 Slack API 进行秘密通信:通过 Slack API 函数从 C2 服务器接收 PowerShell 命令,用于执行进一步的命令、发送 Windows 桌面的屏幕截图以及泄露文件。
Slack 是隐藏恶意通信的理想平台,因为其在企业中广泛部署,数据可以很好地与常规业务流量融合。不过,这种类型的滥用是其他攻击者过去遵循的策略,因此并不是一个新技巧。此外,Slack 并不是唯一被滥用以秘密中继数据和命令的合法消息传递平台。
威胁行为者第一次执行Aclip后门程序时,会收集基本系统信息,包括主机名、用户名和外部 IP 地址,此数据使用 Base64 加密并泄露给威胁参与者。然后,从命令执行查询阶段开始,Aclip 连接到 actor 控制的 Slack 工作区不同通道。最后使用 PowerShell 图形库截取屏幕,并保存至 %TEMP% 直到数据渗漏,图像上传到 C2 后,它们将被擦除。
IBM 研究人员在 2021 年 3 月发现了滥用此通信渠道的威胁行为者,并负责任地将其披露给了 Slack。IBM 在调查发现两个已知归因于黑客组织的自定义恶意软件样本后,将此次攻击与 MuddyWaters/ITG17 联系起来。
领取专属 10元无门槛券
私享最新 技术干货