Des pirates informatiques parrainés par l’État abusent de l’API Slack pour voler les données des compagnies aériennes

aircraft_cabin

Un acteur présumé iranien soutenu par l’État déploie une porte dérobée récemment découverte nommée « Aclip » qui abuse de l’API Slack pour des communications secrètes.

L’activité de l’acteur menaçant a commencé en 2019 et a ciblé une compagnie aérienne asiatique anonyme pour voler des données de réservation de vol.

Selon un rapport d’IBM Security X-Force, l’acteur de la menace est probablement ITG17, alias « MuddyWater », un groupe de piratage très actif qui maintient des organisations cibles dans le monde entier.

Abus de Slack

Slack est une plate-forme idéale pour dissimuler les communications malveillantes, car les données peuvent bien se fondre dans le trafic professionnel régulier en raison de son déploiement généralisé dans l’entreprise.

Ce type d’abus est une tactique que d’autres acteurs ont suivie dans le passé, ce n’est donc pas une nouvelle astuce. De plus, Slack n’est pas la seule plate-forme de messagerie légitime à faire l’objet d’abus pour relayer secrètement des données et des commandes.

Dans ce cas, l’API Slack est utilisée par la porte dérobée Aclip pour envoyer des informations système, des fichiers et des captures d’écran au C2, tout en recevant des commandes en retour.

Les chercheurs d’IBM ont repéré les auteurs de menaces abusant de ce canal de communication en mars 2021 et l’ont divulgué de manière responsable à Slack.

Slack a publié la déclaration publique suivante en réponse :

« Comme détaillé dans cet article, IBM X-Force a découvert et suit activement un tiers qui tente d’utiliser des logiciels malveillants ciblés en exploitant des espaces de travail gratuits dans Slack. Dans le cadre de l’enquête X-Force, nous avons été informés de l’existence d’espaces de travail gratuits utilisé de cette manière.

Nous avons enquêté et immédiatement fermé les espaces de travail Slack signalés en tant que violation de nos conditions d’utilisation. Nous avons confirmé que Slack n’avait en aucun cas été compromis dans le cadre de cet incident et qu’aucune donnée client Slack n’était exposée ou en danger. Nous nous engageons à empêcher l’utilisation abusive de notre plate-forme et nous prenons des mesures contre toute personne qui enfreint nos conditions d’utilisation.

Slack encourage les gens à être vigilants et à revoir et appliquer les mesures de sécurité de base, y compris l’utilisation de l’authentification à deux facteurs, en s’assurant que leurs logiciels informatiques et antivirus sont à jour, en créant de nouveaux mots de passe uniques pour chaque service qu’ils utilisent, et faire preuve de prudence lorsqu’ils interagissent avec des personnes qu’ils ne connaissent pas. » – Slack.

La porte dérobée Aclip

Aclip est une porte dérobée récemment observée, exécutée via un script batch Windows nommé « aclip.bat », d’où son nom.

La porte dérobée établit la persistance sur un appareil infecté en ajoutant une clé de registre et se lance automatiquement au démarrage du système.

Aclip reçoit les commandes PowerShell du serveur C2 via les fonctions de l’API Slack et peut être utilisé pour exécuter d’autres commandes, envoyer des captures d’écran du bureau Windows actif et exfiltrer des fichiers.

Schéma de fonctionnement d'Aclip
Schéma de fonctionnement d’Aclip
Source : IBM

Lors de la première exécution, la porte dérobée collecte des informations système de base, notamment le nom d’hôte, le nom d’utilisateur et l’adresse IP externe. Ces données sont cryptées avec Base64 et exfiltrées vers l’acteur menaçant.

À partir de là, la phase de requête d’exécution de commande commence, Aclip se connectant à un canal différent sur l’espace de travail Slack contrôlé par l’acteur.

Les captures d’écran sont prises à l’aide de la bibliothèque graphique de PowerShell et enregistrées dans %TEMP% jusqu’à l’exfiltration. Une fois les images téléchargées sur le C2, elles sont effacées.

IBM a lié l’attaque à MuddyWaters/ITG17 après que leur enquête a trouvé deux échantillons de logiciels malveillants personnalisés connus pour être attribués au groupe de piratage.

« L’enquête a révélé deux outils personnalisés qui correspondent à des logiciels malveillants précédemment attribués à ITG17, une porte dérobée ‘Win32Drv.exe’ et le shell Web ‘OutlookTR.aspx' », explique rapport d’IBM.

« Dans la configuration de Win32Drv.exe, se trouve l’adresse IP C2 46.166.176[.]210, qui a précédemment été utilisé pour héberger un domaine C2 associé au Forelord DNS tunneling malware publiquement attribué à Eau boueuse. »

Comment se défendre

Détecter un trafic qui se marie si bien avec des outils de collaboration à distance tels que Slack peut être un défi, en particulier lors d’un boom du travail à distance qui crée davantage d’opportunités de dissimulation pour les acteurs.

IBM suggère plutôt de se concentrer sur le renforcement de votre position de sécurité PowerShell et propose les mesures suivantes :

  • Vérifiez fréquemment les journaux PowerShell et les enregistrements de journalisation des modules
  • Limitez l’accès PowerShell à des commandes et des fonctions spécifiques pour chaque utilisateur
  • Désactiver ou restreindre le service de gestion à distance Windows
  • Créez et utilisez des règles YARA pour détecter les scripts PowerShell malveillants

Cependant, IBM prévient que l’abus des applications de messagerie continuera d’évoluer à mesure que l’entreprise adoptera de plus en plus ces solutions.

« Avec une vague d’entreprises passant à l’adoption permanente ou généralisée d’une main-d’œuvre à distance, continuant à mettre en œuvre des applications de messagerie sous forme de production de groupe et de discussion, X-Force estime que ces applications continueront d’être utilisées par des acteurs malveillants pour contrôler et distribuer des logiciels malveillants sans être détectés », a conclu IBM.