据了解,Aclip是一个新近发现的后门,通过名为“aclip.bat”的 Windows 批处理脚本执行,因此得名。该后门通过添加注册表项在受感染设备上建立持久性,并在系统启动时自动开启。Aclip滥用 Slack API 进行秘密通信:通过 Slack API 函数从 C2 服务器接收 PowerShell 命令,用于执行进一步的命令、发送 Windows 桌面的屏幕截图以及泄露文件。
Slack 是隐藏恶意通信的理想平台,因为其在企业中广泛部署,数据可以很好地与常规业务流量融合。不过,这种类型的滥用是其他攻击者过去遵循的策略,因此并不是一个新技巧。此外,Slack 并不是唯一被滥用以秘密中继数据和命令的合法消息传递平台。
IBM 研究人员在 2021 年 3 月发现了滥用此通信渠道的威胁行为者,并负责任地将其披露给了 Slack。IBM 在调查发现两个已知归因于黑客组织的自定义恶意软件样本后,将此次攻击与 MuddyWaters/ITG17 联系起来。