伊朗黑客使用Slack API攻击了亚洲航空公司
据研究人员称,伊朗的一个黑客组织正在使用消息平台Slack上的免费工作空间,在亚洲某航空公司的系统中部署了后门。
根据IBM Security X-Force 的一份报告,被称为Aclip的后门可能使攻击者能够访问航空公司的乘客预订数据。Aclip名称来自名为“aclip.bat”的 Windows 批处理脚本,能通过添加一个注册表密钥建立持久性,并在受感染设备的系统启动时自动启动。
报告称,目前还不清楚攻击者是否已从系统中窃取了数据,,尽管在攻击者的命令和控制 (C2) 服务器上发现的文件表明他们可能已经访问了预订数据。分析认为,他们的重点是监视,因为在其 C2 服务器上只能找到名称中带有“保留管理”的文件。它没有透露泄露的存档文件的内容。
网络安全公司 Cybereason 的 CSO Sam Curry 在推测攻击者的动机时认为,酒店和飞行数据可用于流量分析、网络推断等行为和目的分析,比如,如果两位 CEO 飞到一个城市,住在酒店,然后马上离开,他们很有可能彼此认识,可能正在考虑做一些不公开的事情,这是可用于内幕交易的信息。作为寻求战略性使用数据的一部分,航空公司信息很有价值。
虽然Slack没有对这起事件做出回应,但公司表示已经开始进行调查,并以违反服务条款为由关闭了Slack Workspaces。
由于涉及的流量大,基于协作工具防御威胁很困难,研究人员表示,针对此类后门建立防御机制会面临较大挑战,但仍建议加强PowerShell 安全性,因为该脚本有时能让攻击变得具有侵入性,这些措施包括:
- 将 PowerShell 更新到最新的稳定版本并禁用早期版本;
- 通过限制能够运行某些命令和功能的用户来控制对 PowerShell 的访问;
- 监控PowerShell日志,包括模块日志记录;
- 通过禁用或限制 Windows 远程管理服务来防止使用 PowerShell 进行远程执行;
- 创建并使用 YARA 规则来检测恶意 PowerShell 脚本。
参考来源:
https://www.inforisktoday.com/iranian-threat-actor-uses-slack-api-to-target-asian-airline-a-18139
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
尝试与黑客合作,美国国土安全部推出“Hack DHS”计划
当地时间12月14日,美国国土安全部部长亚历杭德罗·马约卡斯表示,美国国土安全部 (DHS) 推出了一项名为“Hack DHS”的漏洞赏金计划,旨在识别某些DHS系统中的潜在网络安全漏洞并提高网络安全弹性,允许黑客报告其系统中的漏洞,以换取金钱奖励。 详细内容 “作为联邦政府的网络安全四分卫,国土安全部必须以身作则,不断寻求加强我们自己的系统的安全性,”部长亚历杭德罗·N·马约卡斯 (Alejandro N. Mayorkas) 说。“Hack DHS 计划激励高技能黑客在我们系统中的网络安全弱点被不良行为者利用之前识别它们。该计划是该部门如何与社区合作以帮助保护我们国家的网络安全的一个例子。” Hack DHS 将在 2022 财年分三个阶段进行,其目标是开发一种模型,可供各级政府的其他组织使用,以提高其自身的网络安全弹性。在第一阶段,黑客将对某些 DHS 外部系统进行虚拟评估。在第二阶段,黑客将参加现场的、面对面的黑客活动。在第三个也是最后一个阶段,国土安全部将确定和审查吸取的教训,并计划未来的漏洞赏金。 Hack DHS 将利用该部门网络安全和基础设施安全局 (CISA) 创建的...
- 下一篇
McMenamins 啤酒厂遭到 Conti 勒索软件攻击
12月16日,据bleepingcomputer消息,波特兰啤酒厂和连锁酒店McMenamins在周末遭受了Conti勒索软件攻击,使该公司的运营中断。 McMenamins 是一家受欢迎的连锁餐饮及酒店品牌,在美国俄勒冈州和华盛顿州有多家经营门店。 据媒体消息称,勒索软件攻击发生在上周末,也就是12月12日。此次网络攻击是由Conti 勒索软件团伙发起的,作为攻击的一部分,McMenamins公司包括销售点系统在内的服务器和工作站均被加密。 虽然这次攻击没有导致店面关闭,但McMenamins被迫关闭了他们的IT系统、信用卡销售点系统和公司电子邮件,以防止攻击的进一步扩散。 McMenamins 在事发当晚发表的声明中表示,公司正与联邦调查局和第三方网络安全公司合作调查此次攻击。”目前看来,当网络犯罪分子部署恶意软件锁定公司系统并阻止访问时,似乎没有客户支付数据受到影响。“ 目前尚不清楚内部员工数据是否泄露,但不少员工信息可能已经受到影响,诸如:姓名、地址、电子邮件地址、电话号码、出生日期、存款银行账户信息和福利记录等等。 为了让员工安心,McMenamins 管理人员将直接向员工提...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS7,CentOS8安装Elasticsearch6.8.6
- Linux系统CentOS6、CentOS7手动修改IP地址
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- CentOS7安装Docker,走上虚拟化容器引擎之路
- CentOS6,CentOS7官方镜像安装Oracle11G