Un sospetto attore di minacce appoggiato dallo stato iraniano sta implementando una backdoor appena scoperta chiamata “Aclip” che abusa dell’API Slack per comunicazioni segrete. L’attività ha preso di mira una compagnia aerea asiatica per rubare i dati delle prenotazioni dei voli.
Aclip è una backdoor appena osservata eseguita tramite uno script batch di Windows denominato “aclip.bat”, da qui il nome, che stabilisce la persistenza su un dispositivo infetto aggiungendo una chiave di registro e si avvia automaticamente all’avvio del sistema.
Aclip riceve i comandi PowerShell dal server C2 tramite le funzioni API Slack e può essere utilizzato per eseguire ulteriori comandi, inviare schermate del desktop Windows attivo ed estrarre file. Alla prima esecuzione, raccoglie le informazioni di base del sistema, inclusi nome host, nome utente e indirizzo IP esterno che vengono poi crittografati con Base64 ed esfiltrati all’autore della minaccia. Da quel momento in poi, inizia la fase di query di esecuzione del comando, con Aclip che si connette a un canale diverso nell’area di lavoro Slack controllata dall’attore.
Secondo IBM Security X-Force, l’attore delle minacce è probabilmente ITG17, noto anche come “MuddyWater”, un gruppo di hacker molto attivo il cui obiettivo sono le organizzazioni in tutto il mondo.
Slack è una piattaforma ideale per nascondere le comunicazioni dannose poiché i dati possono fondersi bene con il normale traffico aziendale grazie alla sua diffusione diffusa nell’azienda.
Questo tipo di abuso è una tattica già eseguita in passato da altri attori malevoli hanno seguito in passato e Slack non è l’unica piattaforma di messaggistica legittima a essere abusata per trasmettere dati e comandi di nascosto.
In questo caso, l’API Slack viene utilizzata dalla backdoor di Aclip per inviare informazioni di sistema, file e schermate al C2, ricevendo in cambio comandi.
Gli esperti di IBM hanno individuato gli attori delle minacce che abusavano di questo canale di comunicazione nel marzo 2021 e lo hanno divulgato responsabilmente a Slack.
“Come dettagliato in questo post, IBM X-Force ha scoperto e sta monitorando attivamente una terza parte che sta tentando di utilizzare malware mirato sfruttando gli spazi di lavoro gratuiti in Slack. Nell’ambito dell’indagine X-Force, siamo stati informati del fatto che gli spazi di lavoro gratuiti erano utilizzato in questo modo.
Abbiamo indagato e chiuso immediatamente gli Slack Workspaces segnalati come violazione dei nostri termini di servizio. Abbiamo confermato che Slack non è stato compromesso in alcun modo come parte di questo incidente e che nessun dato dei clienti Slack è stato esposto o a rischio. Ci impegniamo a prevenire l’uso improprio della nostra piattaforma e agiamo contro chiunque violi i nostri termini di servizio.
Slack incoraggia le persone a essere vigili e a rivedere e applicare le misure di sicurezza di base, incluso l’uso dell’autenticazione a due fattori, garantendo che il software del computer e il software antivirus siano aggiornati, creando password nuove e univoche per ogni servizio che utilizzano, ed esercitare cautela quando si interagisce con persone che non conoscono.” – si legge nella dichiarazione pubblica rilasciata da Slack.
