Especialistas en ciberseguridad de IBM Security X-Force reportan la detección de lo que parece ser un grupo de hacking auspiciado por el gobierno de Irán, quienes están dirigiendo una oleada de ataques contra una gran aerolínea usando un backdoor hasta ahora desconocido. Al parecer, estos ataques se han mantenido activos desde octubre de 2019.
Este grupo de amenazas persistentes avanzadas (APT) identificado como ITG17 o MuddyWater, está explotando un canal de espacio de trabajo gratuito en Slack con el fin de alojar código malicioso pensado para ofuscar las comunicaciones entre sus diferentes servidores C&C maliciosos.
Según el reporte, aún no está claro si los hackers pudieron extraer exitosamente la información del entorno de la víctima, aunque los archivos encontrados en un servidor C&C malicioso sugieren que información confidencial pudo verse comprometida.
Sobre la API de mensajería de Slack, los expertos mencionan que fue explotada por una nueva variante de backdoor identificada como “Aclop”, capaz de abusar de la API para enviar datos y recibir comandos, tomar capturas de pantalla y enviar archivos a un canal de Slack controlado por los hackers.
El backdoor recurría a tres canales separados para exfiltrar información de forma sigilosa. Además, después de su instalación y ejecución, el backdoor se dedicaba a recopilar datos básicos del sistema, incluyendo nombres de host, nombres de usuario y direcciones IP, que luego se enviaban al primer canal de Slack después del cifrado. El segundo canal se utilizó para verificar los comandos a ejecutar, y estos resultados se enviaron al tercer canal de Slack.
Aclip no es el único malware conocido capaz de abusar de Slack, lo que debería ser importante para los equipos empresariales, ya que la herramienta es valiosa para quienes ahora trabajan desde casa o en configuraciones híbridas. Antes de que se detecte una oleada de ataques contra estas implementaciones, los equipos de seguridad en cualquier organización deberían prestar atención a este potencial vector de hacking.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.