【安全资讯】MuddyWater组织利用Aclip后门攻击亚洲航空公司

引言

疑似伊朗国家支持的威胁组织MuddyWater正在部署一个名为“Aclip”的新后门，攻击亚洲航空公司。Aclip后门用 PowerShell 脚本语言编写，利用 Slack 消息应用程序接口 (API) 进行C2通信。

简况

攻击活动始于 2019 年，目标是一家亚洲航空公司，以窃取航班预订数据。攻击者疑似是MuddyWater组织，该组织在攻击活动中部署了名为“Aclip”的新后门。Aclip通过名为“aclip.bat”的 Windows 批处理脚本执行，通过添加注册表项在受感染设备上建立持久性，并在系统启动时自动启动。

Slack是一个合法的消息传递平台。Aclip 通过 Slack API 函数从 C2 服务器接收 PowerShell 命令，可用于执行进一步的命令、发送 Windows 桌面的屏幕截图或泄露文件。Aclip 操作图如下：

Aclip 后门使用了三个独立的通道。第一次执行时，后门会收集基本系统信息，包括主机名、用户名和外部 IP 地址。后门对这些信息使用 Base64 加密，并使用 Slack API 函数 chat.postMessage 将其发送到 Slack通道A。

随后开始命令执行查询阶段，Aclip 连接到通道 B 以检查要运行的命令。这一操作通过向返回通道消息历史记录的函数发出 API 请求来实现。然后对返回的消息历史进行解析以获取命令，这些命令随后由后门使用 PowerShell 执行。Aclip 使用chat.postMessage API 调用将执行命令的结果发送回 C2 服务器，但这次将消息发送到通道 C。

Aclip 还有一个可以调用的截图功能。截图是使用 PowerShell 的图形库截取的，并保存到%TEMP%目录，上传后，%TEMP% 目录中的文件将被删除。

研究人员根据攻击者使用的自定义工具、ITG17 使用的网络范围内的基础设施，以及 ITG17 之前针对运输部门的目标，将此次攻击归因于ITG17组织。

总结

由于疫情的原因，许多公司员工开始居家办公，消息应用程序已成为工作中重要的一部分。如今，商业消息应用程序每月有数百万活跃用户，Slack 等消息应用程序的广泛使用为网络犯罪分子创造了更多攻击机会。