Slack API の悪用:国家支援ハッカーが航空会社にバックドアを仕掛ける

State-sponsored hackers abuse Slack API to steal airline data

2021/12/15 BleepingComputer — イランが国家支援すると疑われている脅威アクターが、新たに発見された Aclip というバックドアを展開し、Slack API を悪用して秘密の通信を行っている。この脅威アクターの活動は 2019年に始まり、無名のアジアの航空会社を標的にしてフライト予約データを盗み出している。IBM Security X-Force のレポートによると、この脅威アクターは、世界中の組織を標的にして非常に活発に動き続けるハッキンググループ MuddyWater こと、ITG17 である可能性が高いとのことだ。

Slack の悪用

Slack は、企業内に広く普及しているため、通常の業務トラフィックにデータが紛れ込むことがありで、悪意の通信を隠すのに理想的なプラットフォームとなる。このような不正利用は、過去にも他の脅威アクターが行ってきた手口であり、新しい手口ではない。また、データやコマンドを秘密裏に中継するために悪用される、正規のメッセージング・プラットフォームは Slack だけではない。

今回のケースでは、Aclip バックドアが Slack API を利用して、システム情報/ファイル/スクリーン・ショットなどを C2 (Command and Control) に送信し、その代わりにコマンドを受け取っている。

IBM の研究者たちは、2021年3月に、この通信チャネルを悪用する脅威アクターを発見し、Slack に対して開示した。

これを受けて Slack は、「この投稿で詳しく述べられているように、IBM X-Force は、Slack の無料ワークスペースを活用した、標的型マルウェアを使用している第三者を発見し、積極的に追跡している。無料のワークスペースが、このような方法で使用されていることを認識した。私たちは調査を行い、報告された Slack ワークスペースを利用規約違反として直ちにシャットダウンした。今回のインシデントでは、Slack が何らかの形で危険にさらされることはなく、また、Slack の顧客データの流出などが生じないことも確認した。Slack はプラットフォームの悪用防止に尽力しており、利用規約に違反した者に対して措置を講じている。Slack は警戒心を持ち、また、ユーザーに対しては二要素認証の使用を推奨し、また、コンピュータソフトやウイルス対策ソフトを最新の状態にすること、利用するサービスごとに新しく固有のパスワードを作成すること、知らない人とやりとりする際には注意することなどの、基本的なセキュリティ対策に関する見直/実施を推奨している」という公式声明を発表した。

バックドア Aclip について

Aclip は新たに観測されたバックドアであり、aklip.bat という名前の Windows のバッチスクリプトを介して実行されるため、この名前がついている。このバックドアは、レジストリキーを追加することで、感染させたデバイス上で永続性を確立し、システム起動時に自動的に起動する。

Aclip は、C2 サーバーから Slack API 関数を介して PowerShell コマンドを受信し、コマンド実行や、スクリーン・ショット送信、ファイル流出などを行う。このバックドアは最初に実行される時に、ホスト名/ユーザー名/外部 IP アドレスなどの、基本的なシステム情報を収集する。このデータは、Base64 で暗号化され、脅威アクターへと送信される。

その後には、コマンド実行のクエリ・フェーズが始まり、Aclip は脅威アクターが管理する Slack ワークスペースの別チャンネルに接続する。PowerShell のグラフィック・ライブラリを使用してスクリーン・ショット取得し、流出させるまでの間は %TEMP% に保存し、画像が C2 にアップロードされた後に消去する。

IBM は、調査の結果、MuddyWaters/ITG17 が関与するとされる2つのカスタム・マルウェア・サンプルを発見し、この攻撃を MuddyWaters/ITG17 に関連付けた。
この調査の結果、これまで ITG17 に起因するとされていたマルウェアに対応する、2つのカスタムツールである、バックドア Win32Drv.exe と Web シェル OutlookTR.aspx が見つかったと、IBM はレポートで説明している。

Win32Drv.exe のコンフィグレーションには、C2 IP アドレス 46.166.176[…]210 が含まれており、以前に MuddyWater に起因すると公表されていた、DNS トンネリング・マルウェア Forelord に関連する、C2 ドメインをホストするために使用されていたとのことだ。

防御方法

Slack のようなリモート・コラボレーション・ツールに、巧妙に紛れ込んだトラフィックを検出することは困難を伴うため、いまのリモートワーク・ブームにおいては、より多くの隠れ場所を攻撃者に与えることになる。IBM は、PowerShell のセキュリティ対策を強化することを提案し、以下のような対策を提示している。

  • PowerShell のログとモジュールの記録を頻繁にチェックする。
  • PowerShell へのアクセスを、ユーザーごとに特定のコマンドや機能に制限する。
  • Windows Remote Management Service を無効化または制限を実施する。
  • 悪意の PowerShell スクリプトを検出するために YARA ルールを作成/使用する。

    ただし IBM は、これらのソリューションが、エンタープライズにおいて積極的に採用されるにつれて、メッセージング・アプリケの悪用は今後も増加し続けると警告している。IBM は、「X-Force は、これらのアプリケーションが脅威アクターにより、マルウェアの制御/配布のために、検出されずに使用され続けるだろうと評価している」と結論づけている。

Slack の Add Apps を開いてみたら、ストレージ系/カレンダー系/SNS 系/ビデオ会議系などなど、たいへんな数のサービスとの連携が可能なことがわかりました。これらすべてが、API により接続されているわけで、膨大なトラフィックが、多様なディスティネーションへと向けて発信されているわけです。たしかに、それらに混じって、悪意のトラフィックがまじり込んでも、検出することは難しそうです。Slack に限った話ではなく、なにかのセキュリティ要素を加えることが必要になっていくのでしょうね。

%d bloggers like this: