黑客利用 IT 监控工具中心来监控多个法国公司

主页（http://www.kuwanit.com）：黑客利用 IT 监控工具中心来监控多个法国公司

与俄罗斯有关联的、由国家支持的攻击组织 Sandworm 与一项长达三年的秘密行动有关，该行动利用名为 Centreon 的 IT 监控工具攻击目标。

法国信息安全机构 ANSSI 在一份咨询报告中表示，根据研究，此次的攻击活动已经攻击了 " 几个法国公司 "，该活动始于 2017 年底，持续到 2020 年，攻击特别影响了 Web 托管提供商。

法国信息安全机构周一说：

" 在受到攻击的系统上，ANSSI 发现以 webshell 形式出现的后门存在于暴露于互联网的几台 Centreon 服务器上。"

此后门被标识为 PAS Webshell，版本号 3.1.4。在同一服务器上，ANSSI 发现了另一个与 ESET 描述的后门相同的后门，名为 Exaramel。 Exaramel 后门 " 是后门组件的改进版本 "，是针对工业控制系统（ICS）的恶意软件 Industroyer 的一部分，Industroyer 曾在 2016 年 12 月引发乌克兰停电。

据说俄罗斯黑客组织（也称为 APT28，TeleBots，Voodoo Bear 或 Iron Viking）在过去几年中遭受了一些最具攻击性的网络攻击，其中包括 2016 年乌克兰的电网攻击，2017 年的 NotPetya 勒索软件爆发以及 2018 年平昌冬季奥运会。

虽然最初的攻击对象似乎还不清楚，但受害者网络的入侵与 Centreon 有关，Centreon 是由一家同名的法国公司开发的一款应用程序和网络监控软件。

Centreon 成立于 2005 年，其客户包括 Airbus, Air Cara bes, ArcelorMittal, BT, Luxottica, Kuehne Nagel, Minist è re de la Justice fran ais, New Zealand Police, PWC Russia, Salomon, Sanofi 和 Sephora，目前尚不清楚有多少或哪些组织通过该软件黑客被攻击。

ANSSI 表示，受攻击的服务器运行 CENTOS 操作系统（版本 2.5.2），并在两种不同的恶意软件中发现了这种恶意软件，一个名为 PAS 的公开 Webshell，另一个名为 Exaramel，自 2018 年以来，Sandworm 在先前的攻击中曾使用过该 Webshell。

web shell 配备了处理文件操作、搜索文件系统、与 SQL 数据库交互、对 SSH、FTP、POP3 和 MySQL 执行暴力密码攻击、创建反向 shell 和运行任意 PHP 命令的功能。

另一方面，Exaramel 用作远程管理工具，能够执行 Shell 命令并在攻击者控制的服务器与受感染的系统之间来回复制文件。它还使用 HTTPS 与其命令和控制（C2）服务器进行通信，以便检索要运行的命令列表。

此外，ANSSI 的调查显示，为了连接到 Web Shell，使用了常见的 VPN 服务，在 C2 基础结构中存在重叠，从而将操作连接到 Sandworm。

研究人员表示：

" 众所周知，攻击设备 Sandworm 会引起随后的攻击活动，然后重点关注适合其在受害者群体中的战略利益的特定目标，ANSSI 观察到的活动符合这种行为。"

鉴于 SolarWinds 供应链的攻击，研究人员认为诸如 Centreon 之类的监视系统已成为不良行为者发起攻击并在受害环境中横向移动的有利可图的手段。但是，与前者的供应链攻击不同，新近披露的攻击有所不同，它们似乎是通过利用受害者中心网络中运行 Centreon 软件的面向互联网的服务器来实施的。

ANSSI 警告说：

" 因此，建议在漏洞公开并发布纠正补丁后立即更新应用程序。建议不要将这些工具的 Web 界面公开到互联网上或使用非应用身份验证来限制这种访问。"