与俄罗斯有关联的、由国家支持的攻击组织Sandworm与一项长达三年的秘密行动有关,该行动利用名为Centreon的IT监控工具攻击目标。
在洪江管理区等地区,都构建了全面的区域性战略布局,加强发展的系统性、市场前瞻性、产品创新能力,以专注、极致的服务理念,为客户提供网站制作、网站设计 网站设计制作按需定制,公司网站建设,企业网站建设,品牌网站设计,全网营销推广,外贸营销网站建设,洪江管理区网站建设费用合理。
法国信息安全机构ANSSI在一份咨询报告中表示,根据研究,此次的攻击活动已经攻击了“几个法国公司”,该活动始于2017年底,持续到2020年,攻击特别影响了Web托管提供商。
法国信息安全机构周一说:
此后门被标识为PAS Webshell,版本号3.1.4。在同一服务器上,ANSSI发现了另一个与ESET描述的后门相同的后门,名为Exaramel。 Exaramel 后门“是后门组件的改进版本”,是针对工业控制系统(ICS)的恶意软件 Industroyer 的一部分,Industroyer 曾在2016年12月引发乌克兰停电。
据说俄罗斯黑客组织(也称为APT28,TeleBots,Voodoo Bear或Iron Viking)在过去几年中遭受了一些最具攻击性的网络攻击,其中包括2016年乌克兰的电网攻击,2017年的NotPetya勒索软件爆发以及2018年平昌冬季奥运会。
虽然最初的攻击对象似乎还不清楚,但受害者网络的入侵与Centreon有关,Centreon是由一家同名的法国公司开发的一款应用程序和网络监控软件。
Centreon成立于2005年,其客户包括Airbus, Air Caraïbes, ArcelorMittal, BT, Luxottica, Kuehne + Nagel, Ministère de la Justice français, New Zealand Police, PWC Russia, Salomon, Sanofi和 Sephora,目前尚不清楚有多少或哪些组织通过该软件黑客被攻击。
ANSSI表示,受攻击的服务器运行CENTOS操作系统(版本2.5.2),并在两种不同的恶意软件中发现了这种恶意软件,一个名为PAS的公开Webshell,另一个名为Exaramel,自2018年以来,Sandworm在先前的攻击中曾使用过该Webshell。
web shell配备了处理文件操作、搜索文件系统、与SQL数据库交互、对SSH、FTP、POP3和MySQL执行暴力密码攻击、创建反向shell和运行任意PHP命令的功能。
另一方面,Exaramel用作远程管理工具,能够执行Shell命令并在攻击者控制的服务器与受感染的系统之间来回复制文件。它还使用HTTPS与其命令和控制(C2)服务器进行通信,以便检索要运行的命令列表。
此外,ANSSI的调查显示,为了连接到Web Shell,使用了常见的虚拟网络服务,在C2基础结构中存在重叠,从而将操作连接到Sandworm。
研究人员表示:
鉴于SolarWinds供应链的攻击,研究人员认为诸如Centreon之类的监视系统已成为不良行为者发起攻击并在受害环境中横向移动的有利可图的手段。但是,与前者的供应链攻击不同,新近披露的攻击有所不同,它们似乎是通过利用受害者中心网络中运行Centreon软件的面向互联网的服务器来实施的。
ANSSI警告说:
本文翻译自:https://thehackernews.com/2021/02/hackers-exploit-it-monitoring-tool.html如若转载,请注明原文地址。
网站栏目:黑客利用IT监控工具中心来监控多个法国公司
分享网址:http://www.shufengxianlan.com/qtweb/news46/34096.html
网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联