亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

近日，根據 IBM Security X-Force 的一份報告，一個非常活躍的全球性黑客組織（很可能是 ITG17，又名“MuddyWater”）正在部署一個名為“Aclip”的后門，實施攻擊活動。其攻擊活動始于 2019 年，目標是一家亞洲航空公司，以竊取航班預訂數據。

據了解，Aclip是一個新近發現的后門，通過名為“aclip.bat”的 Windows 批處理腳本執行，因此得名。該后門通過添加注冊表項在受感染設備上建立持久性，并在系統啟動時自動開啟。Aclip濫用 Slack API 進行秘密通信：通過 Slack API 函數從 C2 服務器接收 PowerShell 命令，用于執行進一步的命令、發送 Windows 桌面的屏幕截圖以及泄露文件。

Slack 是隱藏惡意通信的理想平臺，因為其在企業中廣泛部署，數據可以很好地與常規業務流量融合。不過，這種類型的濫用是其他攻擊者過去遵循的策略，因此并不是一個新技巧。此外，Slack 并不是唯一被濫用以秘密中繼數據和命令的合法消息傳遞平臺。

威脅行為者第一次執行Aclip后門程序時，會收集基本系統信息，包括主機名、用戶名和外部 IP 地址，此數據使用 Base64 加密并泄露給威脅參與者。然后，從命令執行查詢階段開始，Aclip 連接到 actor 控制的 Slack 工作區不同通道。最后使用 PowerShell 圖形庫截取屏幕，并保存至 %TEMP% 直到數據滲漏，圖像上傳到 C2 后，它們將被擦除。

IBM 研究人員在 2021 年 3 月發現了濫用此通信渠道的威脅行為者，并負責任地將其披露給了 Slack。IBM 在調查發現兩個已知歸因于黑客組織的自定義惡意軟件樣本后，將此次攻擊與 MuddyWaters/ITG17 聯系起來。