據研究人員稱，伊朗的一個黑客組織正在使用消息平臺Slack上的免費工作空間，在亞洲某航空公司的系統中部署了后門。

[[440998]]

根據IBM Security X-Force 的一份報告，被稱為Aclip的后門可能使攻擊者能夠訪問航空公司的乘客預訂數據。Aclip名稱來自名為“aclip.bat”的 Windows 批處理腳本，能通過添加一個注冊表密鑰建立持久性，并在受感染設備的系統啟動時自動啟動。

報告稱，目前還不清楚攻擊者是否已從系統中竊取了數據，，盡管在攻擊者的命令和控制 (C2) 服務器上發現的文件表明他們可能已經訪問了預訂數據。分析認為，他們的重點是監視，因為在其 C2 服務器上只能找到名稱中帶有“保留管理”的文件。它沒有透露泄露的存檔文件的內容。

網絡安全公司 Cyber​​eason 的 CSO Sam Curry 在推測攻擊者的動機時認為，酒店和飛行數據可用于流量分析、網絡推斷等行為和目的分析，比如，如果兩位 CEO 飛到一個城市，住在酒店，然后馬上離開，他們很有可能彼此認識，可能正在考慮做一些不公開的事情，這是可用于內幕交易的信息。作為尋求戰略性使用數據的一部分，航空公司信息很有價值。

雖然Slack沒有對這起事件做出回應，但公司表示已經開始進行調查，并以違反服務條款為由關閉了Slack Workspaces。

由于涉及的流量大，基于協作工具防御威脅很困難，研究人員表示，針對此類后門建立防御機制會面臨較大挑戰，但仍建議加強PowerShell 安全性，因為該腳本有時能讓攻擊變得具有侵入性，這些措施包括：

• 將 PowerShell 更新到最新的穩定版本并禁用早期版本;
• 通過限制能夠運行某些命令和功能的用戶來控制對 PowerShell 的訪問;
• 監控PowerShell日志，包括模塊日志記錄;
• 通過禁用或限制 Windows 遠程管理服務來防止使用 PowerShell 進行遠程執行;
• 創建并使用 YARA 規則來檢測惡意 PowerShell 腳本。

參考來源：

https://www.inforisktoday.com/iranian-threat-actor-uses-slack-api-to-target-asian-airline-a-18139