信息化觀察網

與俄羅斯有關聯(lián)的、由國家支持的攻擊組織Sandworm與一項長達三年的秘密行動有關，該行動利用名為Centreon的IT監(jiān)控工具攻擊目標。

法國信息安全機構ANSSI在一份咨詢報告中表示，根據(jù)研究，此次的攻擊活動已經攻擊了“幾個法國公司”，該活動始于2017年底，持續(xù)到2020年，攻擊特別影響了Web托管提供商。

法國信息安全機構周一說：

“在受到攻擊的系統(tǒng)上，ANSSI發(fā)現(xiàn)以webshell形式出現(xiàn)的后門存在于暴露于互聯(lián)網的幾臺Centreon服務器上。”

此后門被標識為PAS Webshell，版本號3.1.4。在同一服務器上，ANSSI發(fā)現(xiàn)了另一個與ESET描述的后門相同的后門，名為Exaramel。Exaramel后門“是后門組件的改進版本”，是針對工業(yè)控制系統(tǒng)（ICS）的惡意軟件Industroyer的一部分，Industroyer曾在2016年12月引發(fā)烏克蘭停電。

據(jù)說俄羅斯黑客組織（也稱為APT28，TeleBots，Voodoo Bear或Iron Viking）在過去幾年中遭受了一些最具攻擊性的網絡攻擊，其中包括2016年烏克蘭的電網攻擊，2017年的NotPetya勒索軟件爆發(fā)以及2018年平昌冬季奧運會。

雖然最初的攻擊對象似乎還不清楚，但受害者網絡的入侵與Centreon有關，Centreon是由一家同名的法國公司開發(fā)的一款應用程序和網絡監(jiān)控軟件。

Centreon成立于2005年，其客戶包括Airbus,Air Caraïbes,ArcelorMittal,BT,Luxottica,Kuehne+Nagel,Ministère de la Justice français,New Zealand Police,PWC Russia,Salomon,Sanofi和Sephora，目前尚不清楚有多少或哪些組織通過該軟件黑客被攻擊。

ANSSI表示，受攻擊的服務器運行CENTOS操作系統(tǒng)（版本2.5.2），并在兩種不同的惡意軟件中發(fā)現(xiàn)了這種惡意軟件，一個名為PAS的公開Webshell，另一個名為Exaramel，自2018年以來，Sandworm在先前的攻擊中曾使用過該Webshell。

web shell配備了處理文件操作、搜索文件系統(tǒng)、與SQL數(shù)據(jù)庫交互、對SSH、FTP、POP3和MySQL執(zhí)行暴力密碼攻擊、創(chuàng)建反向shell和運行任意PHP命令的功能。

另一方面，Exaramel用作遠程管理工具，能夠執(zhí)行Shell命令并在攻擊者控制的服務器與受感染的系統(tǒng)之間來回復制文件。它還使用HTTPS與其命令和控制（C2）服務器進行通信，以便檢索要運行的命令列表。

此外，ANSSI的調查顯示，為了連接到Web Shell，使用了常見的VPN服務，在C2基礎結構中存在重疊，從而將操作連接到Sandworm。

研究人員表示：

“眾所周知，攻擊設備Sandworm會引起隨后的攻擊活動，然后重點關注適合其在受害者群體中的戰(zhàn)略利益的特定目標，ANSSI觀察到的活動符合這種行為。”

鑒于SolarWinds供應鏈的攻擊，研究人員認為諸如Centreon之類的監(jiān)視系統(tǒng)已成為不良行為者發(fā)起攻擊并在受害環(huán)境中橫向移動的有利可圖的手段。但是，與前者的供應鏈攻擊不同，新近披露的攻擊有所不同，它們似乎是通過利用受害者中心網絡中運行Centreon軟件的面向互聯(lián)網的服務器來實施的。

ANSSI警告說：

“因此，建議在漏洞公開并發(fā)布糾正補丁后立即更新應用程序。建議不要將這些工具的Web界面公開到互聯(lián)網上或使用非應用身份驗證來限制這種訪問。”

本文翻譯自：https://thehackernews.com/2021/02/hackers-exploit-it-monitoring-tool.html如若轉載，請注明原文地址：