伊朗黑客使用Slack API攻击了亚洲航空公司

安全
根据IBM Security X-Force 的一份报告,被称为Aclip的后门可能使威胁行为者能够访问航空公司的乘客预订数据。

据研究人员称,伊朗的一个黑客组织正在使用消息平台Slack上的免费工作空间,在亚洲某航空公司的系统中部署了后门。

[[440998]]

根据IBM Security X-Force 的一份报告,被称为Aclip的后门可能使攻击者能够访问航空公司的乘客预订数据。Aclip名称来自名为“aclip.bat”的 Windows 批处理脚本,能通过添加一个注册表密钥建立持久性,并在受感染设备的系统启动时自动启动。

报告称,目前还不清楚攻击者是否已从系统中窃取了数据,,尽管在攻击者的命令和控制 (C2) 服务器上发现的文件表明他们可能已经访问了预订数据。分析认为,他们的重点是监视,因为在其 C2 服务器上只能找到名称中带有“保留管理”的文件。它没有透露泄露的存档文件的内容。

网络安全公司 Cyber​​eason 的 CSO Sam Curry 在推测攻击者的动机时认为,酒店和飞行数据可用于流量分析、网络推断等行为和目的分析,比如,如果两位 CEO 飞到一个城市,住在酒店,然后马上离开,他们很有可能彼此认识,可能正在考虑做一些不公开的事情,这是可用于内幕交易的信息。作为寻求战略性使用数据的一部分,航空公司信息很有价值。

虽然Slack没有对这起事件做出回应,但公司表示已经开始进行调查,并以违反服务条款为由关闭了Slack Workspaces。

由于涉及的流量大,基于协作工具防御威胁很困难,研究人员表示,针对此类后门建立防御机制会面临较大挑战,但仍建议加强PowerShell 安全性,因为该脚本有时能让攻击变得具有侵入性,这些措施包括:

  • 将 PowerShell 更新到最新的稳定版本并禁用早期版本;
  • 通过限制能够运行某些命令和功能的用户来控制对 PowerShell 的访问;
  • 监控PowerShell日志,包括模块日志记录;
  • 通过禁用或限制 Windows 远程管理服务来防止使用 PowerShell 进行远程执行;
  • 创建并使用 YARA 规则来检测恶意 PowerShell 脚本。

参考来源:

https://www.inforisktoday.com/iranian-threat-actor-uses-slack-api-to-target-asian-airline-a-18139

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2021-08-17 14:20:01

黑客攻击DDOS

2022-11-25 14:49:56

2020-12-22 10:50:01

黑客勒索软件攻击

2021-04-04 22:21:15

网络攻击供应链数据泄露

2022-03-17 15:50:57

阿提哈德航空数据科学数字化转型

2009-06-03 14:32:03

ibmdwESB

2020-12-08 18:35:56

黑客攻击网络安全

2023-05-25 19:35:32

2023-11-06 13:10:40

2015-06-24 09:56:17

2021-05-24 12:07:44

黑客数据泄露网络攻击

2023-06-25 11:51:18

2021-05-24 14:34:16

信息泄露黑客数据安全

2017-05-23 11:22:15

一带一路戴尔

2024-05-23 15:13:06

2022-04-04 14:30:46

黑客网络攻击

2015-07-02 13:42:50

2022-03-16 10:05:16

加拿大航空数据分析数据库

2018-03-12 17:36:05

IT

2021-08-19 15:43:39

供应链攻击黑客网络攻击
点赞
收藏

51CTO技术栈公众号