黑客利用IT监控工具中心来监控多个法国公司

与俄罗斯有关联的、由国家支持的攻击组织Sandworm与一项长达三年的秘密行动有关，该行动利用名为Centreon的IT监控工具攻击目标。

法国信息安全机构ANSSI在一份咨询报告中表示，根据研究，此次的攻击活动已经攻击了“几个法国公司”，该活动始于2017年底，持续到2020年，攻击特别影响了Web托管提供商。

法国信息安全机构周一说：

“在受到攻击的系统上，ANSSI发现以webshell形式出现的后门存在于暴露于互联网的几台Centreon服务器上。”

此后门被标识为PAS Webshell，版本号3.1.4。在同一服务器上，ANSSI发现了另一个与ESET描述的后门相同的后门，名为Exaramel。 Exaramel 后门“是后门组件的改进版本”，是针对工业控制系统(ICS)的恶意软件 Industroyer 的一部分，Industroyer 曾在2016年12月引发乌克兰停电。

据说俄罗斯黑客组织(也称为APT28，TeleBots，Voodoo Bear或Iron Viking)在过去几年中遭受了一些最具攻击性的网络攻击，其中包括2016年乌克兰的电网攻击，2017年的NotPetya勒索软件爆发以及2018年平昌冬季奥运会。

虽然最初的攻击对象似乎还不清楚，但受害者网络的入侵与Centreon有关，Centreon是由一家同名的法国公司开发的一款应用程序和网络监控软件。

Centreon成立于2005年，其客户包括Airbus, Air Caraïbes, ArcelorMittal, BT, Luxottica, Kuehne + Nagel, Ministère de la Justice français, New Zealand Police, PWC Russia, Salomon, Sanofi和 Sephora，目前尚不清楚有多少或哪些组织通过该软件黑客被攻击。

ANSSI表示，受攻击的服务器运行CENTOS操作系统(版本2.5.2)，并在两种不同的恶意软件中发现了这种恶意软件，一个名为PAS的公开Webshell，另一个名为Exaramel，自2018年以来，Sandworm在先前的攻击中曾使用过该Webshell。

web shell配备了处理文件操作、搜索文件系统、与SQL数据库交互、对SSH、FTP、POP3和MySQL执行暴力密码攻击、创建反向shell和运行任意PHP命令的功能。

另一方面，Exaramel用作远程管理工具，能够执行Shell命令并在攻击者控制的服务器与受感染的系统之间来回复制文件。它还使用HTTPS与其命令和控制(C2)服务器进行通信，以便检索要运行的命令列表。

此外，ANSSI的调查显示，为了连接到Web Shell，使用了常见的服务，在C2基础结构中存在重叠，从而将操作连接到Sandworm。

研究人员表示：

“众所周知，攻击设备Sandworm会引起随后的攻击活动，然后重点关注适合其在受害者群体中的战略利益的特定目标，ANSSI观察到的活动符合这种行为。”

鉴于SolarWinds供应链的攻击，研究人员认为诸如Centreon之类的监视系统已成为不良行为者发起攻击并在受害环境中横向移动的有利可图的手段。但是，与前者的供应链攻击不同，新近披露的攻击有所不同，它们似乎是通过利用受害者中心网络中运行Centreon软件的面向互联网的服务器来实施的。

ANSSI警告说：

“因此，建议在漏洞公开并发布纠正补丁后立即更新应用程序。建议不要将这些工具的Web界面公开到互联网上或使用非应用身份验证来限制这种访问。”

本文翻译自：https://thehackernews.com/2021/02/hackers-exploit-it-monitoring-tool.html如若转载，请注明原文地址：