黑客利用IT监控工具中心来监控多个法国公司

2024-10-31

据外媒报道，黑客利用IT监控工具中心来监控多个法国公司。与俄罗斯有关联的、由国家支持的攻击组织Sandworm与一项长达三年的秘密行动有关，该行动利用名为Centreon的IT监控工具攻击目标。

法国信息安全机构ANSSI在一份咨询报告中表示，根据研究，此次的攻击活动已经攻击了“几个法国公司”，该活动始于2017年底，持续到2020年，攻击特别影响了Web托管提供商。

法国信息安全机构周一说：

“在受到攻击的系统上，ANSSI发现以webshell形式出现的后门存在于暴露于互联网的几台Centreon服务器上。”

此后门被标识为PAS Webshell，版本号3.1.4。在同一服务器上，ANSSI发现了另一个与ESET描述的后门相同的后门，名为Exaramel。 Exaramel 后门“是后门组件的改进版本”，是针对工业控制系统(ICS)的恶意软件 Industroyer 的一部分，Industroyer 曾在2016年12月引发乌克兰停电。

据说俄罗斯黑客组织(也称为APT28，TeleBots，Voodoo Bear或Iron Viking)在过去几年中遭受了一些最具攻击性的网络攻击，其中包括2016年乌克兰的电网攻击，2017年的NotPetya勒索软件爆发以及2018年平昌冬季奥运会。

虽然最初的攻击对象似乎还不清楚，但受害者网络的入侵与Centreon有关，Centreon是由一家同名的法国公司开发的一款应用程序和网络监控软件。

Centreon成立于2005年，其客户包括Airbus, Air Caraïbes, ArcelorMittal, BT, Luxottica, Kuehne + Nagel, Ministère de la Justice français, New Zealand Police, PWC Russia, Salomon, Sanofi和 Sephora，目前尚不清楚有多少或哪些组织通过该软件黑客被攻击。

ANSSI表示，受攻击的服务器运行CENTOS操作系统(版本2.5.2)，并在两种不同的恶意软件中发现了这种恶意软件，一个名为PAS的公开Webshell，另一个名为Exaramel，自2018年以来，Sandworm在先前的攻击中曾使用过该Webshell。

web shell配备了处理文件操作、搜索文件系统、与SQL数据库交互、对SSH、FTP、POP3和MySQL执行暴力密码攻击、创建反向shell和运行任意PHP命令的功能。

另一方面，Exaramel用作远程管理工具，能够执行Shell命令并在攻击者控制的服务器与受感染的系统之间来回复制文件。它还使用HTTPS与其命令和控制(C2)服务器进行通信，以便检索要运行的命令列表。

此外，ANSSI的调查显示，为了连接到Web Shell，使用了常见的虚拟网络服务，在C2基础结构中存在重叠，从而将操作连接到Sandworm。

研究人员表示：