伊朗黑客使用SlackAPI攻击了亚洲航空公司

据研究人员称，伊朗的一个黑客组织正在使用消息平台Slack上的免费工作空间，在亚洲某航空公司的系统中部署了后门。

成都创新互联公司凭借专业的设计团队扎实的技术支持、优质高效的服务意识和丰厚的资源优势，提供专业的网站策划、成都网站建设、成都做网站、网站优化、软件开发、网站改版等服务，在成都10余年的网站建设设计经验，为成都成百上千中小型企业策划设计了网站。

根据IBM Security X-Force 的一份报告，被称为Aclip的后门可能使攻击者能够访问航空公司的乘客预订数据。Aclip名称来自名为“aclip.bat”的 Windows 批处理脚本，能通过添加一个注册表密钥建立持久性，并在受感染设备的系统启动时自动启动。

报告称，目前还不清楚攻击者是否已从系统中窃取了数据，，尽管在攻击者的命令和控制 (C2) 服务器上发现的文件表明他们可能已经访问了预订数据。分析认为，他们的重点是监视，因为在其 C2 服务器上只能找到名称中带有“保留管理”的文件。它没有透露泄露的存档文件的内容。

网络安全公司 Cyber​​eason 的 CSO Sam Curry 在推测攻击者的动机时认为，酒店和飞行数据可用于流量分析、网络推断等行为和目的分析，比如，如果两位 CEO 飞到一个城市，住在酒店，然后马上离开，他们很有可能彼此认识，可能正在考虑做一些不公开的事情，这是可用于内幕交易的信息。作为寻求战略性使用数据的一部分，航空公司信息很有价值。

虽然Slack没有对这起事件做出回应，但公司表示已经开始进行调查，并以违反服务条款为由关闭了Slack Workspaces。

由于涉及的流量大，基于协作工具防御威胁很困难，研究人员表示，针对此类后门建立防御机制会面临较大挑战，但仍建议加强PowerShell 安全性，因为该脚本有时能让攻击变得具有侵入性，这些措施包括：

• 将 PowerShell 更新到最新的稳定版本并禁用早期版本;
• 通过限制能够运行某些命令和功能的用户来控制对 PowerShell 的访问;
• 监控PowerShell日志，包括模块日志记录;
• 通过禁用或限制 Windows 远程管理服务来防止使用 PowerShell 进行远程执行;
• 创建并使用 YARA 规则来检测恶意 PowerShell 脚本。

参考来源：

https://www.inforisktoday.com/iranian-threat-actor-uses-slack-api-to-target-asian-airline-a-18139

网页名称：伊朗黑客使用SlackAPI攻击了亚洲航空公司
网页网址：http://www.mswzjz.com/qtweb/news42/196392.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联