Des pirates iraniens présumés ciblent une compagnie aérienne via une nouvelle porte dérobée
Un groupe de pirates iraniens soupçonné d’être soutenu par Téhéran a attaqué une compagnie aérienne en exploitant une porte dérobée jamais vue auparavant. Ce mercredi, des chercheurs en cybersécurité d’IBM Security X-Force ont déclaré qu’une compagnie aérienne asiatique était l’objet de l’attaque, qui a probablement commencé en octobre 2019 jusqu’en 2021.
Le groupe de menaces persistantes avancées (APT) ITG17, également connu sous le nom de MuddyWater, a exploité un canal d’espace de travail gratuit sur Slack pour héberger du contenu malveillant et pour obscurcir les communications effectuées entre les serveurs de commande et de contrôle (C2) malveillants. “On ne sait pas si l’adversaire a réussi à exfiltrer des données de l’environnement de la victime, bien que les fichiers trouvés sur le serveur C2 de l’acteur de la menace suggèrent la possibilité qu’il ait pu accéder à des données de réservation “, fait savoir Big Blue.
L’interface de programme d’application (API) de la messagerie Slack a été exploitée par une nouvelle porte dérobée déployée par l’APT, nommée “Aclop”. Aclop est capable d’exploiter l’API pour envoyer des données et recevoir des commandes – avec des données système, des captures d’écran et des fichiers envoyés sur un canal Slack contrôlé par l’attaquant.
Trois canaux distincts utilisés
Au total, trois canaux distincts ont été utilisés par le backdoor pour exfiltrer discrètement des informations. Une fois installé et exécuté, le backdoor a collecté des données système de base, notamment des noms d’hôtes, des noms d’utilisateurs et des adresses IP, qui ont ensuite été envoyés au premier canal Slack après avoir été chiffrés. Le deuxième canal était utilisé pour vérifier les commandes à exécuter, et les résultats de ces commandes – comme les téléchargements de fichiers – étaient ensuite envoyés au troisième espace de travail Slack.
Bien qu’il s’agisse d’une nouvelle porte dérobée, Aclip n’est pas le seul logiciel malveillant connu pour abuser de Slack – ce qui devrait intéresser les équipes d’entreprise, car cet outil est précieux pour ceux qui travaillent désormais souvent à domicile ou dans des configurations hybrides. Slack C2bot, basé sur Golang, exploite également l’API de Slack pour faciliter les communications C2, et la porte dérobée SLUB utilise des jetons autorisés pour communiquer avec son infrastructure C2.
Dans une déclaration publiée suite à cette découverte, Slack s’est défendu de toute légèreté dans ce dossier. “Nous avons enquêté et immédiatement fermé les espaces de travail Slack signalés comme une violation de nos conditions de service.” “Nous avons confirmé que Slack n’a pas été compromis de quelque manière que ce soit dans le cadre de cet incident, et aucune donnée de client de Slack n’a été exposée ou à risque. Nous nous engageons à prévenir l’utilisation abusive de notre plateforme et nous prenons des mesures contre toute personne qui viole nos conditions de service.”
Source : ZDNet.com
